ClickCease PostgreSQL-Datenbank und Cryptojacking-Schwachstellen |tuxcare.com

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

PostgreSQL-Datenbank: Ein schwarzes Loch für Sie, eine Goldmine für jemand anderen

11. Mai 2021. TuxCare PR Team

Cyberangriffe gibt es in allen Formen und Größen. Manchmal ist es die ausdrückliche Absicht des Angreifers, das Unternehmen zu stören oder etwas Wertvolles zu stehlen. In anderen Fällen versucht ein Angreifer, ein Ziel zu erreichen, das nicht unbedingt darauf abzielt, Ihrem Unternehmen Schaden zuzufügen.

Manchmal setzt sich Malware einfach in Ihrer Computerinfrastruktur fest und verrichtet im Stillen ihre Arbeit, ohne sofort offensichtlichen Schaden anzurichten - aber sie verschlingt dennoch Ihre Ressourcen und wirkt im Grunde wie ein schwarzes Loch. Diese Art von Malware kostet Sie eine Menge Geld, aber sie riskiert auch einen erheblichen Imageschaden.

In diesem Artikel befassen wir uns mit Cryptojacking, bei dem es sich um ein heimtückisches Stück Malware handelt, das Sie vielleicht gar nicht bemerken - das Sie aber trotzdem etwas kosten wird. Schlimmer noch, diese Malware versteckt sich an einem der unwahrscheinlichsten Orte: Ihrer SQL-Datenbank.

 

 

Kryptojacking 101

 

Lassen Sie uns zunächst einen Blick darauf werfen, was Kryptojacking ist und warum Angreifer Kryptojacking-Techniken einsetzen. Darauf gibt es eigentlich eine einfache Antwort: Geld. Das Mining von Kryptowährungen kann viel Geld einbringen, aber für das Kryptomining haben sich die Fakten geändert.

Vor nicht allzu langer Zeit war es einfach, mit einem Standardcomputer und einer Internetverbindung große Mengen an Kryptowährungen zu schürfen - man konnte es zu Hause tun. Das änderte sich jedoch im Laufe der Jahre, da die Algorithmen vieler beliebter Kryptowährungen so konzipiert sind, dass das Mining von Münzen mit der Zeit immer schwieriger wird.

Das Ergebnis ist, dass das Schürfen von Münzen heute extrem rechenintensiv ist - die Schürfer brauchen viele Ressourcen, um Kryptowährungen zu schürfen, und diese Ressourcen sind nicht kostenlos. Dies wirkt sich auf die Gewinne aus und bedeutet in vielen Fällen, dass das Mining nicht profitabel durchgeführt werden kann, es sei denn, die Ressourcen können kostenlos beschafft - mit anderen Worten: gestohlen - werden.

Und genau darum geht es beim Cryptojacking - Ressourcen zu stehlen, um sie für das Cryptomining zu nutzen. Wenn ein Hacker Server kryptojackt, ist das Ziel, die Ressourcen, für die Sie bezahlt haben, zu nutzen, um ohne Ihre Erlaubnis Kryptowährung zu schürfen, und natürlich, ohne Ihnen etwas von der Kryptowährung zu geben, die mit Ihrer Ausrüstung geschürft wurde.

Kryptojacker sind motiviert, so lange wie möglich im Verborgenen zu bleiben, und sie werden natürlich versuchen, ihren Kryptojacking-Code dort einzuschleusen, wo man ihn am wenigsten vermutet - darauf werden wir später in diesem Artikel eingehen.

 

 

 

Warum Kryptojacking Sie kosten wird

 

Als Nächstes werfen wir einen Blick auf die Probleme, die durch Cryptojacking verursacht werden, und darauf, warum Ihr Unternehmen auf die Risiken achten muss. Ein Hacker, der Kryptomining-Software auf Ihren Systemen installiert, tut dies nicht, um Ihren Betrieb direkt zu stören oder Daten zu stehlen - aber die Beanspruchung Ihrer Computerressourcen kann extrem teuer werden. Es gibt auch noch andere Folgen. Wir führen hier einige der Auswirkungen auf:

  • DieKosten steigen. Wir haben bereits erklärt, dass Kryptomining sehr ressourcenintensiv ist. Die meisten Unternehmen planen ihre Technologieressourcen sorgfältig - sie kaufen nie mehr als nötig und holen aus jedem ausgegebenen Dollar den maximalen Nutzen heraus. Kryptojacking stört dieses Gleichgewicht und bedeutet, dass Ihre Arbeitslasten plötzlich ausfallen können, was zu unerwarteten Ausfällen führt. Wenn die Abrechnung vom Verbrauch abhängt, können Sie mit drastisch höheren Rechnungen rechnen.

 

  • Physische Schäden. Während Ihre Arbeitslasten so konzipiert sind, dass sie innerhalb der physikalischen und umweltbedingten Grenzen Ihrer Hardware ablaufen, zeigen Kryptojacker absolut keine Bedenken, wenn sie Ihre Hardware durch illegal installierte Kryptomining-Software missbrauchen. Dies kann zu physischen Hardwareausfällen führen, da Komponenten wie CPUs über die Hersteller- und Umgebungsgrenzen hinaus betrieben werden.

 

  • Compliance und rechtliche Bedenken. Wenn eine Organisation personenbezogene oder andere vertrauliche Daten auf ihren Servern verarbeitet, kann das Vorhandensein von nicht autorisierter Kryptomining-Software gegen Compliance-Vorschriften verstoßen, da die Kryptomining-Software Zugriff auf diese Daten haben kann. Dies kann zu erheblichen rechtlichen Problemen führen.

 

  • Cryptominers können zu einem Sicherheitsproblem werden. Cryptojacking mag zunächst nur ein Missbrauch von Ressourcen sein, aber Hacker können die Software umfunktionieren, um andere Ziele zu erreichen. Das kann die Unterbrechung Ihrer Dienste oder der Diebstahl von Daten sein. Mit anderen Worten: Ein Ressourcenabfluss kann sich schnell in einen kritischen Cyberangriff verwandeln.

Wie Sie sehen, ist Kryptojacking aufgrund des erhöhten Ressourcenverbrauchs mit realen Alltagskosten verbunden, aber auch mit dem Risiko hoher unerwarteter Kosten, da Kryptomining-Software Ihre Technologielösungen wirklich in ein schwarzes Loch verwandelt.

 

 

 

Verstehen von PostgreSQL

 

Kryptojacker müssen ihre Software irgendwo verstecken und es hat sich herausgestellt, dass Ihre PostgreSQL-Datenbank ein großartiges Versteck ist, wie wir im nächsten Abschnitt erklären werden. Aber was ist PostgreSQL, und verwenden Sie es überhaupt in Ihren Workloads?

Die heutigen Technologielösungen sind hochkomplex, vielschichtig und integriert - der typische Technologiestapel hängt von vielen Komponenten ab, von denen Sie vielleicht nicht einmal wissen, dass es sie gibt. Diese Komponenten arbeiten im Hintergrund, um Ihre Anwendungen zu unterstützen.

Die meisten Anwendungen stützen sich auf irgendeine Art von Datenbank - darunter zum Beispiel MySQL und PostgreSQL. Dabei handelt es sich um Datenbankmanagementsysteme (DBMS), und PostgreSQL ist eine der leistungsfähigeren Optionen, die erstmals 1997 veröffentlicht wurde. PostgreSQL ist unter anderem deshalb so beliebt, weil es kostengünstig zu betreiben und einfach zu implementieren ist.

PostgreSQL bietet auch wichtige Funktionen, die es sehr gut für Unternehmensanwendungen geeignet machen, was möglicherweise der Grund ist, warum eine Stack Overflow-Umfrage ergab, dass PostgreSQL die zweitbeliebteste Datenbanklösung istist, nach MySQL.

Man kann davon ausgehen, dass Millionen von Anwendungen und Lösungen auf PostgreSQL basieren - und das oft im Hintergrund, einfach weil ein Entwickler PostgreSQL als DBMS ausgewählt hat.

 

 

 

Eine PostgreSQL-Schwachstelle, die Kryptojacking ermöglicht

 

Wir haben erklärt, warum Sie sich Sorgen über einen erfolgreichen Kryptojacking-Versuch machen müssen - lassen Sie uns nun einen Blick darauf werfen, wie Hacker Kryptomining-Software in Ihre PostgreSQL-Datenbank einschleusen können.

Im Dezember 2020 fand ein Forschungsteam das erste Beispiel für Hacker, die Kryptomining-Code in PostgreSQL einschleusen. Das Team nannte die Software PGMiner, was sich natürlich auf PostgreSQL und Mining bezieht - mit anderen Worten, es handelt sich um einen in PostgreSQL installierten Code, der zum Mining von Kryptowährungen verwendet wird.

Der Code hängt von einer bestimmten Sicherheitslücke in PostgreSQL abeine Schwachstelle in der Remotecodeausführung, die es einem Hacker ermöglicht, die von Ihnen ausgeführte PostgreSQL-Anwendung zu nutzen, um Kryptomining-Code in Ihr System zu injizieren. Sie können eine ausführliche Analyse des Teams von Unit 42 lesen.lesen, in der die von PGMiner verwendete Methodik erläutert wird.

Interessanterweise kann man argumentieren, dass die "Schwachstelle", die mit dieser Methode des Cryptojacking verbunden ist, in Wirklichkeit eine Funktion von PostgreSQL ist. Die PostgreSQL Global Development Group sagt, dass die COPY TO/FROM PROGRAM-Funktion, die von der Schwachstelle betroffen ist, in der Tat wie vorgesehen funktioniert. Nichtsdestotrotz wird diese Funktion aktiv für Kryptojacking ausgenutzt.

 

 

 

Und hier ist noch einer...

 

Es gibt nicht nur eine Möglichkeit für Hacker, in Ihre PostgreSQL-Datenbank einzudringen. Schauen wir uns ein anderes Beispiel an, um zu verdeutlichen, wie heimtückisch das Kryptojacking-Risiko wirklich ist.

In diesem Artikel erklärt der Sicherheitsanbieter Imperva, wie Hacker Kryptomining-Code in PostgreSQL-Instanzen einschleusen, indem sie ein Bild von Scarlett Johannsson verwenden. Es klingt seltsam, aber im Wesentlichen können Angreifer durch das Anhängen von bösartigem Code an eine Bilddatei ihren Code in eine PostgreSQL-Instanz über Remote-Codeausführung einfügen.

Das Bild wird auf einem öffentlichen Bild-Hosting-Dienst gehostet und sieht aus wie ein Bild eines beliebten Schauspielers, nichts weiter - aber dieses unschuldige Bild verbirgt eine echte Gefahr, da es eine echte Nutzlast enthält. Den Autoren des Artikels zufolge können viele Antivirenprogramme die Nutzlast in der Bilddatei nicht erkennen.

Dies zeigt, dass Angreifer mehrere Möglichkeiten haben, Kryptomining-Code genau dort einzuschleusen, wo sie ihn haben wollen.

Schlimmer noch, diese Schwachstellen sind derzeit in freier Wildbahn zu finden - und Angreifer können automatisierte Tools verwenden, um anfällige PostgreSQL-Server zu finden. Noch schlimmer ist, dass im Fall von CVE-2019-9193 derzeit kein Patch verfügbar ist.

 

 

 

Umgang mit Kryptojacking in der realen Welt

 

Wir haben dargelegt, wie Kryptomining-Software Ihr Unternehmen teuer zu stehen kommen kann - sowohl in Form von direkten Betriebskosten als auch in Form von unvorhersehbaren, indirekten Kosten.

Das Team, das PGMiner gegründet hat, schlug vor, dass jeder, der PostgreSQL einsetzt, sich auf die besten Praktiken konzentrieren sollte. Zum Beispiel die Minimierung oder vollständige Abschaffung des Superuser-Zugriffs in PostgreSQL und die Einschränkung der Möglichkeiten für Remote-Benutzer.

Ein weiterer wichtiger Punkt im Zusammenhang mit bewährten Verfahren ist die Fähigkeit, Schwachstellen konsequent zu patchen. Für CVE-2019-9193 selbst gibt es zwar derzeit keinen entsprechenden Patch, aber im Großen und Ganzen werden durch das Patchen die Schwachstellen geschlossen, die als Einstiegspunkte für Angreifer dienen - einschließlich derer, die versuchen, Kryptomining-Code auf Ihren Servern zu installieren.

Während viele Malware-Bedrohungen auf eine bestimmte Prozessorarchitektur beschränkt sind, stellen die in diesem Artikel beschriebenen PostgreSQL-Bedrohungen eine Bedrohung für alle x86-, ARM- und MIPS-Prozessorarchitekturen dar.

 

 

 

Automatisiertes und Live-Patching ist der Schlüssel

 

Im vorangegangenen Abschnitt haben wir bereits auf das Patching hingewiesen, das jedoch mit einigen Schwierigkeiten verbunden ist. Ein konsistentes und effektives Patching ist eine besondere Herausforderung. Technische Teams räumen dem Patching manchmal keine Priorität ein und verfügen selten über die Ressourcen, um Patches so schnell wie möglich zu verteilen - und dies auch nicht auf wirklich konsistente Weise.

Wie so oft im Bereich der Cybersicherheit ist die Automatisierung der erste Schritt, um das Patching richtig durchzuführen. Die Patch-Automatisierung entlastet vielbeschäftigte Technikerteams und erhöht die Konsistenz durch Automatisierung.

Automatisierung allein reicht jedoch nicht aus, da das Patchen oft auch mit Unterbrechungen verbunden ist. Es kann vorkommen, dass Teams das Patchen auf Eis legen, weil sie befürchten, dass das Patchen zu Serviceunterbrechungen führt. Live-Patching entschärft dieses Problem, indem es sicherstellt, dass Patches angewendet werden können, ohne dass die Server neu gestartet werden müssen.

 

 

 

TuxCare Live-Patching für PostgreSQL

 

Live-Patching ist nicht so weit verbreitet - und es ist nicht immer für alle Betriebssysteme und Dienste verfügbar, auf die Ihre Lösungen angewiesen sind - wie PostgreSQL. Wir freuen uns jedoch, sagen zu können, dass TuxCare aktiv an der Einführung von Live-Patching für PostgreSQL-Server arbeitet.

Wir liefern bereits eine Live-Patching-Lösung für wichtige Linux-Betriebssystem-Distributionen und sogar für wichtige Bibliotheken in diesen Distributionen. Anwender unserer Live-Patching-Lösungen für Linux-Server-Betriebssysteme profitieren davon, dass Wartungsteams viel weniger Zeit mit dem Einspielen von Patches verbringen - TuxCare spielt Patches automatisch ein.

Auch für die Serverwartung ist TuxCare von Vorteil, denn unsere automatisierte Live-Patching-Lösung spielt Patches on-the-fly ein. Live-Patching bedeutet, dass kritische Sicherheitsupdates installiert werden, ohne dass ein Server neu gestartet werden muss - und ohne den Betrieb zu unterbrechen.

Diese automatisierte Live-Patching-Funktion wird bald für PostgreSQL-Datenbanken verfügbar sein und bedeutet, dass Unternehmen, die TuxCare verwenden, ihr PostgreSQL-Patching-System erheblich verbessern und damit viele Möglichkeiten für Malware-Injektionen - einschließlich Kryptominern - reduzieren können.

 

 

 

Lassen Sie Ihren PostgreSQL nicht zu einem schwarzen Loch werden

 

Zusammenfassend lässt sich sagen, dass Sie nun wissen, dass profitorientierte Hacker möglicherweise versuchen, Kryptomining-Code in Ihren Servern - und sogar in Ihrer PostgreSQL-Datenbank - zu verstecken. Und das ist keine Bedrohung, die Sie ignorieren können - Kryptomining-Software lebt nicht friedlich mit Ihren Softwarelösungen zusammen: Sie wird Ihre Ressourcen aufzehren und Sie dem Risiko sehr hoher Kosten aussetzen.

Sensibilisierung ist ein guter Anfang, aber Sie müssen auch Maßnahmen ergreifen. Sichern Sie Ihre PostgreSQL-Instanzen ab, indem Sie Berechtigungen und Benutzer einschränken und konsequent patchen. Haben Sie Schwierigkeiten, konsequent zu patchen? Halten Sie Ausschau nach dem kommenden TuxCare Live-Patching-Service für DBMS, einschließlich PostgreSQL.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter