[ad_1]

یک بات نت استخراج ارز رمزنگاری شده مبتنی بر لینوکس برای آسیب رساندن به سرورهای پایگاه داده و انتخاب مجدد آنها در شبکه استخراج ، از آسیب پذیری اجرای کد از راه دور (RCE) مورد مناقشه در PostgreSQL – که اولین بار در سال 2018 فاش شد و در ابتدا CVE-2019-9193 اختصاص داده شد – استفاده کرد. محققان در تیم واحد 42 شبکه پالو آلتو می گویند.

بات نت که توسط تیم تحقیقاتی شیائو ژانگ ، یانگ جی ، جیم فیتزجرالد ، یو چن و کلود شیائو لقب گرفته است ، بات نت اولین بوت نت رمزنگاری تحویل شده از طریق PostgreSQL است که تاکنون شناسایی شده است. این تیم گفت که قابل توجه است که بازیگران بدخواه نه تنها CVE های تأیید شده ، بلکه موارد مناقشه برانگیز را نیز مسلح کرده اند.

PostgreSQL ، یکی از پرکاربردترین سیستم های مدیریت پایگاه داده رابطه ای منبع باز برای محیط های تولید ، قبلاً اظهار داشت که CVE-2019-9193 “از نظر امنیتی آسیب پذیر نیست” و احتمالاً به اشتباه ثبت شده است.

CVE-2019-9193 کپی به / از برنامه برنامه را متمرکز می کند که می تواند به کاربران بزرگ و کاربران گروه “ph_execute_server_program” اجازه دهد کد دلخواهی را در متن کاربر سیستم عامل پایگاه داده اجرا کنند – این قابلیت به طور پیش فرض فعال است و می تواند مورد سو استفاده قرار گیرد برای اجرای دستورات دلخواه سیستم عامل (سیستم عامل) بر روی ویندوز ، لینوکس و macO ها.

با این حال ، طبق PostgreSQL ، این مسئله مسئله ای نیست زیرا عملکرد مطابق هدف کار می کند. با طراحی ، می گوید ، هیچ محدودیتی امنیتی بین کاربر فوق العاده پایگاه داده و سیستم عامل مورد استفاده در سرور وجود ندارد و به همین ترتیب ، با طراحی سرور PostgreSQL ممکن است به عنوان یک کاربر فوق العاده سیستم عامل اجرا نشود.

“ما همه کاربران PostgreSQL را تشویق می کنیم که بهترین روشی را دنبال کنند که این است که هرگز اجازه دسترسی کاربر فوق العاده به کاربران از راه دور یا غیر معتبر را ندهید. این یک روش عملیاتی امنیتی استاندارد است که در مدیریت سیستم دنبال می شود و به مدیریت پایگاه داده نیز گسترش می یابد. “

واحد 42 نوشت: “دلیل اصلی در برابر تعریف ویژگی به عنوان یک آسیب پذیری این است که این ویژگی تا زمانی که امتیاز کاربر فوق العاده به کاربران از راه دور یا غیر معتمد اعطا نشود و سیستم کنترل دسترسی و تأیید اعتبار به خوبی کار کند ، خطری را ایجاد نمی کند.” تیم تحقیقاتی در اعلامیه افشاگری

آنها ادامه دادند: “در طرف دیگر ، محققان امنیتی نگرانند كه این ویژگی در واقع PostgreSQL را به سنگی برای بهره برداری از راه دور و اجرای كد مستقیماً روی سیستم عامل سرور فراتر از نرم افزار PostgreSQL تبدیل می كند ، در صورتی كه مهاجم موفق شود با استفاده از بی رحمی مجبور به داشتن امتیاز فوق العاده کاربر شود. رمز عبور یا تزریق SQL.

“در حالی که این CVE هنوز مورد مناقشه است ، ظاهراً نویسندگان بدافزار از آن استفاده کرده اند تا با رها کردن رادار شناسایی بدون بارگذاری پرونده حملات ، ممانعت کنند.”

در هر صورت ، بات نت توانسته است از نسخه موجود در برنامه استفاده کرده و اسکریپت های استخراج سکه را بارگیری و راه اندازی کند. توجه داشته باشید که در حال حاضر توسط VirusTotal تشخیص داده نمی شود زیرا استخر استخراج مایکروسافت که قصد دارد به آن متصل شود دیگر فعال نیست.

این تیم اعلام کرد PGMiner با بهره گیری از آسیب پذیری مورد منازعه برای مدتی قابل توجه نبوده و در صورت توسعه بیشتر می تواند بسیار مخل باشد زیرا PostgreSQL بسیار مورد استفاده قرار می گیرد و با تلاش بیشتر می توان از آن برای هدف قرار دادن همه سیستم عامل های بزرگ جزئیات بیشتر را می توانید به صورت آنلاین پیدا کنید.

کاربران فایروال نسل بعدی پالو آلتو در حال حاضر در برابر PGMiner محافظت نمی شوند ، در حالی که سایر کاربران PostgreSQL می توانند با حذف امتیاز “pg_execute_server_program” از کاربران نامعتبر ، مسئله را کاهش دهند. این بهره برداری را غیرممکن خواهد کرد.

[ad_2]

منبع: tadrisriazi-news.ir