Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Base de datos PostgreSQL: Un agujero negro para usted, una mina de oro para los demás
11 de mayo de 2021 - Equipo de RRPP de TuxCare
Los ciberataques son de todo tipo. A veces, la intención expresa del atacante es perturbar o robar algo valioso. En otras ocasiones, un atacante está tratando de lograr un objetivo que no necesariamente pretende causar ningún daño a su organización.
A veces, el malware simplemente se asienta en su infraestructura informática, realizando silenciosamente su trabajo sin causar daños evidentes de inmediato, pero sigue drenando sus recursos, actuando esencialmente como un agujero negro. Este tipo de malware le costará mucho dinero, pero también puede dañar su reputación.
En este artículo trataremos el tema del cryptojacking, que consiste en un astuto trozo de malware del que quizá nunca se dé cuenta de que está ahí, pero que de todos modos le va a costar caro. Peor aún, este malware se esconde en uno de los lugares más inverosímiles: su base de datos SQL.
Contenido:
1. Criptojacking 101
2. Por qué el criptojacking le costará caro
3. Entendiendo PostgreSQL
4. Una vulnerabilidad de PostgreSQL que permite el cryptojacking
5. Y aquí hay otra...
6. Cómo manejar el cryptojacking en el mundo real
7. Los parches automatizados y en vivo son la clave
8. TuxCare Live Patching para PostgreSQL
9. No deje que su PostgreSQL se convierta en un agujero negro
Criptojacking 101
En primer lugar, veamos qué es el criptojacking y por qué los atacantes utilizan técnicas de criptojacking. La respuesta es muy sencilla: dinero. La minería de criptomonedas puede significar mucho dinero, pero para la minería de criptomonedas los hechos sobre el terreno han cambiado.
No hace mucho tiempo era fácil minar grandes cantidades de criptomonedas simplemente utilizando un ordenador normal con conexión a Internet: podías hacerlo en casa. Sin embargo, esto ha cambiado con el paso de los años porque muchos de los algoritmos de las criptomonedas más populares están diseñados de tal forma que minar monedas se vuelve más difícil a medida que pasa el tiempo.
El resultado es que, hoy en día, la minería de monedas es extremadamente exigente desde el punto de vista computacional: los mineros necesitan muchos recursos para minar criptomonedas, y los recursos no son gratuitos. Esto afecta a los beneficios y, en muchos casos, significa que a menos que los recursos puedan obtenerse de forma gratuita -en otras palabras, robados- la minería no puede realizarse de forma rentable.
Y en eso consiste el cryptojacking: en robar recursos para utilizarlos con el fin de minar criptomonedas. Cuando un hacker crypto jacks servidores el objetivo es aprovechar los recursos que usted pagó y utilizarlo para minar criptomoneda sin su permiso, y por supuesto sin darle nada de la criptomoneda que se mina utilizando su equipo.
Los secuestradores de criptomonedas están motivados para permanecer ocultos tanto tiempo como puedan y, por supuesto, intentarán inyectar su código de secuestro de criptomonedas donde sea menos probable que lo encuentres.
Por qué el criptojacking le costará caro
A continuación, echaremos un vistazo a los problemas causados por el cryptojacking y por qué su organización debe prestar atención a los riesgos. Un hacker que instala software de criptominería en sus sistemas no lo hace para interrumpir directamente sus operaciones ni para robar datos, pero el drenaje de sus recursos informáticos puede resultar extremadamente caro. También hay otras consecuencias. Aquí enumeramos algunos de los efectos:
- Aumento de los costes. Ya hemos explicado que la criptominería requiere muchos recursos. La mayoría de las organizaciones planifican cuidadosamente los recursos tecnológicos: nunca compran más de lo necesario y aprovechan al máximo cada dólar gastado. El cryptojacking altera este equilibrio, y significa que sus cargas de trabajo pueden fallar de repente, provocando cortes inesperados. Si su facturación depende del uso, puede esperar facturas mucho más elevadas.
- Daños físicos. Mientras que tus cargas de trabajo están diseñadas para ejecutarse dentro de los límites físicos y ambientales de tu hardware, los criptojackers no mostrarán ninguna preocupación cuando abusen de tu hardware a través de software de minería de criptomonedas instalado ilícitamente. Esto puede conducir a un fallo físico del hardware, ya que componentes como las CPU se ejecutan más allá de los límites del fabricante y del entorno.
- Cumplimiento y problemas legales. Cuando una organización maneja datos personales u otros datos confidenciales en sus servidores, la presencia de software de minería de criptomonedas no autorizado puede infringir las normas de cumplimiento, ya que el software de minería de criptomonedas puede tener acceso a estos datos. Esto puede acarrear importantes problemas legales.
- Los criptomineros pueden convertirse en un problema de seguridad. El criptojacking puede empezar como un simple abuso de recursos, pero los hackers pueden reutilizar el software para lograr otros objetivos. Esto podría ser interrumpir sus servicios o robar datos. En otras palabras, una fuga de recursos puede convertirse rápidamente en un ciberataque crítico.
Como puede ver, el cryptojacking conlleva costes reales en el día a día debido al mayor uso de recursos, pero también riesgos de grandes costes inesperados, ya que el software de cryptomining convierte realmente sus soluciones tecnológicas en un agujero negro.
Comprender PostgreSQL
Los secuestradores de criptomonedas deben esconder su software en algún lugar y ha surgido que su base de datos PostgreSQL es un gran lugar para esconderse, como explicaremos en la siguiente sección. Pero, ¿qué es PostgreSQL y lo utilizas en tus cargas de trabajo?
Las soluciones tecnológicas actuales son muy complejas, están estructuradas en capas e integradas, y la pila tecnológica típica depende de muchos componentes, algunos de los cuales puede que ni siquiera conozca. Estos componentes funcionan en segundo plano para dar soporte a sus aplicaciones.
La mayoría de las aplicaciones dependen de algún tipo de base de datos, como MySQL y PostgreSQL. Se trata de sistemas de gestión de bases de datos (SGBD), y PostgreSQL es una de las opciones más potentes, lanzada por primera vez en 1997. PostgreSQL es muy popular en parte porque es barato de ejecutar y fácil de implementar.
PostgreSQL también ofrece importantes capacidades que lo hacen muy adecuado para aplicaciones empresariales, que es posiblemente la razón por la que una encuesta de Stack Overflow encontró que PostgreSQL es la segunda solución de base de datos más populardespués de MySQL.
Es razonable asumir que millones de aplicaciones y soluciones dependen de PostgreSQL - y a menudo lo hace en segundo plano, simplemente porque un desarrollador eligió PostgreSQL como DBMS.
Una vulnerabilidad de PostgreSQL que permite el criptojacking
Ya hemos explicado por qué debe preocuparse por un intento exitoso de cryptojacking - ahora echemos un vistazo a cómo los hackers pueden introducir software de cryptomining en su base de datos PostgreSQL.
En diciembre de 2020, un equipo de investigación encontró el primer ejemplo de hackers que inyectan código de criptominería en PostgreSQL. El equipo llamó al software PGMiner, que por supuesto se refiere a PostgreSQL y minería - en otras palabras, es código instalado en PostgreSQL y se utiliza para minar criptomonedas.
El código depende de una vulnerabilidad específica en PostgreSQLuna vulnerabilidad de ejecución remota de código que permite a un hacker utilizar la aplicación PostgreSQL que está ejecutando para inyectar código de criptominería en su sistema. Puedes leer un análisis en profundidad del equipo de Unit 42que explica la metodología utilizada por PGMiner.
Curiosamente, se puede argumentar que la "vulnerabilidad" asociada con este método de cryptojacking es en realidad una característica de PostgreSQL. El Grupo de Desarrollo Global de PostgreSQL dice que la característica COPY TO/FROM PROGRAM implicada en la vulnerabilidad funciona de hecho según lo previsto. Sin embargo, esta característica está siendo explotada activamente para el cryptojacking.
Y aquí hay otro...
No hay sólo una manera para que los hackers entren en su base de datos PostgreSQL. Echemos un vistazo a otro ejemplo, sólo para ilustrar lo insidioso que es realmente el riesgo de cryptojacking.
En este artículo, el proveedor de seguridad Imperva explica cómo los hackers están inyectando código de criptominería en instancias PostgreSQL haciendo uso de una imagen de Scarlett Johannsson. Suena extraño, sí, pero esencialmente añadiendo código malicioso a un archivo de imagen, los atacantes pueden insertar su código en una instancia PostgreSQL a través de la ejecución remota de código.
La imagen está alojada en un servicio público de alojamiento de imágenes y parece la imagen de un actor popular, nada más, pero esta inocente imagen esconde un peligro real, ya que contiene una carga útil real. Según los autores del artículo, muchas aplicaciones antivirus no detectan la carga útil del archivo de imagen.
Esto demuestra que los atacantes disponen de múltiples vías para inyectar código de minería de criptomonedas justo donde quieren.
Peor aún, estos exploits están actualmente en la naturaleza - y los atacantes pueden utilizar herramientas automatizadas para encontrar servidores PostgreSQL vulnerables. Peor aún, en el caso de CVE-2019-9193, actualmente no hay ningún parche disponible.
El secuestro de criptomonedas en el mundo real
Hemos descrito cómo el software de minería de criptomonedas puede acabar costándole caro a su organización, tanto en costes directos de funcionamiento como en costes indirectos impredecibles.
El equipo que encontró PGMiner sugirió que cualquiera que haga uso de PostgreSQL debería centrarse mucho en las mejores prácticas. Por ejemplo, minimizar o abolir por completo el uso del acceso de superusuario en PostgreSQL y limitar lo que pueden hacer los usuarios remotos.
Otro punto clave en torno a las mejores prácticas es la capacidad de parchear vulnerabilidades de forma coherente. Aunque CVE-2019-9193 en sí no tiene actualmente un parche asociado, en general, los parches cierran las vulnerabilidades que actúan como puntos de entrada para los atacantes, incluidos los que intentan instalar código de minería de criptomonedas en sus servidores.
En particular, mientras que muchas amenazas de malware se limitan a una arquitectura de procesador específica, las amenazas PostgreSQL que discutimos en este artículo son una amenaza a través de las arquitecturas de procesador x86, ARM y MIPS.
La clave está en la aplicación de parches automatizada y en directo
En la sección anterior hemos mencionado la aplicación de parches, pero existen dificultades asociadas a ella. Parchear de forma coherente y eficaz es especialmente difícil. En ocasiones, los equipos técnicos no dan prioridad a la aplicación de parches y rara vez disponen de los recursos necesarios para desplegarlos con la rapidez necesaria, ni para hacerlo de forma realmente coherente.
Como ocurre a menudo en ciberseguridad, la automatización es el primer paso para aplicar correctamente los parches. La automatización de los parches aligera la carga de trabajo de los atareados equipos de tecnología, al tiempo que aumenta la coherencia gracias a la automatización.
Pero la automatización por sí sola no basta, ya que la aplicación de parches a menudo también implica interrupciones, y puede ocurrir que los equipos dejen en suspenso la aplicación de parches porque les preocupa que ésta provoque interrupciones del servicio. La aplicación de parches en vivo mitiga este problema al garantizar que los parches puedan aplicarse sin necesidad de reiniciar los servidores.
TuxCare Live Patching para PostgreSQL
Los parches en vivo no están tan ampliamente disponibles - y no siempre están disponibles para todos los sistemas operativos y servicios de los que dependen sus soluciones - como PostgreSQL. Nos complace decir, sin embargo, que TuxCare está trabajando activamente en el despliegue de parches en vivo para los servidores PostgreSQL.
Ya ofrecemos una solución de live patching para importantes distribuciones del sistema operativo Linux y, de hecho, para bibliotecas clave de esas distribuciones. Los usuarios de nuestras soluciones de live patching para sistemas operativos de servidor Linux se benefician porque los equipos de mantenimiento dedican mucho menos tiempo a aplicar parches: TuxCare aplica los parches automáticamente.
TuxCare también beneficia el mantenimiento de los servidores, ya que nuestra solución automatizada de aplicación de parches en tiempo real aplica los parches sobre la marcha. Live patching significa que las actualizaciones de seguridad críticas se instalan sin necesidad de reiniciar el servidor y sin interrumpir las operaciones.
Esta función de aplicación de parches automatizada y en tiempo real estará pronto disponible para las bases de datos PostgreSQL y significará que las organizaciones que utilicen TuxCare podrán mejorar significativamente su régimen de aplicación de parches PostgreSQL y, por tanto, reducir muchas de las oportunidades de inyección de malware, incluidos los criptomineros.
No deje que su PostgreSQL se convierta en un agujero negro
En resumen, ahora ya sabe que los hackers con ánimo de lucro pueden estar intentando ocultar código de minería de criptomonedas en sus servidores y, de hecho, en su base de datos PostgreSQL. Y no es una amenaza que pueda ignorar: el software de minería de criptomonedas no cohabita pacíficamente con sus soluciones de software: agotará sus recursos y le hará correr el riesgo de incurrir en costes muy significativos.
La concienciación es un buen comienzo, pero también hay que actuar. Refuerce sus instancias PostgreSQL limitando permisos, usuarios y parcheando consistentemente. ¿Problemas para parchear consistentemente? Esté atento al próximo servicio de parcheo en vivo TuxCare para DBMS, incluyendo PostgreSQL.
