争议的PostgreSQL错误被利用在加密僵尸网络中

2022-06-29 17:46:11来源：

新发现的基于Linux的加密电脑挖掘机僵尸网络在PostgreSQL中开发了争议的远程代码执行（RCE）漏洞 - 2018年首次公开，最初分配了CVE-2019-9193 - 以损害数据库服务器并将其与挖掘网络共享到挖掘网络中，Palo Alto Networks 42队的研究人员说。

被萧张，杨吉，吉姆菲茨吉尔达，悦辰和克拉夫肖的研究小组被称为PGMiner，僵尸网络被认为是有史以来第一个通过PostgreSQL提供的加密僵尸网络。该团队表示，恶意演员已经开始武器武器而不只是确认CVES，而是有争议的人。

PostgreSQL是生产环境中最广泛使用的开源关系数据库管理系统之一，先前已经指出，CVE-2019-9193是“不是安全漏洞”，并且很可能归档错误。

CVE-2019-9193 Centers of Copy to / from Program函数，可以允许超级用户和用户在“ph_execute_server_program”组中在数据库的操作系统用户的上下文中执行任意代码 - 默认情况下启用此功能，并且可以滥用在Windows，Linux和MacOS上运行任意操作系统（OS）命令。

但是，根据PostgreSQL，这不是一个问题，因为该功能正按预期工作。通过设计，它说，数据库超级用户和服务器运行的操作系统之间没有安全边界，因此，通过设计，PostgreSQL服务器可能无法作为OS超级用户运行。

“我们鼓励PostgreSQL的所有用户遵循最佳实践，以便永远不要授予超级用户访问远程或其他不受信任的用户。这是系统管理中遵循的标准安全操作步骤，并扩展到数据库管理，“该公司当时表示。

“根据漏洞定义该功能的主要参数是，只要没有授予远程或不受信任的用户，访问控制和认证系统运行良好，所以只要超级用户权限和良好的效果很好，”特征本身就不会强加风险，“写入单元42研究团队在披露公告中。

他们继续说：“在另一边，安全研究人员担心此功能确实使PostgresQL成为远程利用和在服务器的操作系统上直接在PostgreSQL软件上直接执行的踏脚石，如果攻击者使用Brute Forcing密码或SQL一起使用超级用户权限注射。

“虽然这个CVE仍然有争议，但恶意制品作者显然已经开始使用它来保持雷达下，通过使攻击有效载荷无用。”

在任何情况下，僵尸网络都能够从程序功能中利用副本下载并启动硬币挖掘脚本。注意当前未被Virustotal检测到，因为它试图连接的挖掘池不再有效。

该团队表示，PGMINER通过利用争议的脆弱性，能够在一段时间内仍然被忽视，如果进一步开发出来可能会受到高度破坏性的，因为PostgreSQL是如此广泛使用，并且额外的努力，它可以用来瞄准所有主要操作系统。可以在线找到进一步的详细信息。

Palo Alto的下一代防火墙的用户已经保护了PGMiner，而其他PostgreSQL用户可以通过删除不受信任的用户的“pg_execute_server_prick权限来缓解该问题。这将使利润不可能。