Červ, který směle útočí na databázové servery

Většina červů si vybírá k útoku běžné uživatele a využívá k tomu klasickou elektronickou poštu. Někteří čer...


Většina červů si vybírá k útoku běžné uživatele a využívá k tomu klasickou
elektronickou poštu. Někteří červi svůj útok rozprostírají na více cílů a kromě
klientské strany napadají i servery. A SQLSnake se specializuje na databázové
servery Microsoftu. Je v tom docela úspěšný.
Všechno začalo na konci letošního května, kdy bezpečnostní analytici zjistili
nebývalou aktivitu na portech, které ke komunikaci využívá softwarový produkt
SQL Server společnosti Microsoft. Nový červ totiž útočí právě na ně. Vyhledává
SQL Servery připojené k internetu a poté skenuje jejich účty. Jakmile narazí na
účet s administrátorskými právy, který není chráněn heslem, využije jej k útoku.
Zajímavé je, že i když jde vlastně o využití skutečně silně nezodpovědného
chování správců systému, jen za první den činnosti červa byly úspěšně napadeny
stovky systémů. To jednoznačně svědčí o minimální ochraně systémů zapojených do
internetu v některých organizacích.

Činnost červa
"Jakmile se červu podaří server s Microsoft SQL Serverem infikovat, zneužije
svého postavení ke zjištění všech uživatelských hesel v systému," říká Elias
Levy, CTO (Chief Technology Officer) americké společnosti SecurityFocus.
"SQLSnake nevyužívá žádné nové bezpečnostní slabiny. Prostě jen hledá účty
správců, kde nejsou nastavena žádná hesla," upozorňuje Levy.
Jakmile se tedy červ dostane do systému, provede několik věcí. "Za prvé předá
práva pro správu serveru účtu pro hosty (guest). Tak může server ovládat v
podstatě kdokoli. Za druhé vyexportuje záznamy o heslech uživatelů z registrů a
odešle je e-mailem na jistou adresu. A za třetí hledá další stroje, které by
infikoval," popisuje podrobněji činnost červa Levy.

Průběh napadení
Analytici si poprvé všimli existence podezřelého kódu na konci minulého měsíce.
Zjistili totiž prudký nárůst počtu pokusů o skenování na portu 1433, který je
používán právě SQL Serverem Microsoftu. "Sledovali jsme podezřelé aktivity
zaměřené proti SQL Serveru Microsoftu po několik minulých měsíců," vysvětluje
Tim Belcher, CTO společnosti Riptech. "Skenovací aktivita na portu 1433
vzrostla na konci minulého týdne (konec května 2002, pozn. red.) o 90 % a
následně dokonce až na stonásobek běžné hodnoty," popisuje situaci v době
největší aktivity červa.
SecurityFocus dostal po první vlně útoku hlášení o 1 600 systémech, které byly
červem napadeny, přičemž toto číslo se podle Levyho zvyšovalo každou hodinu
přibližně o stovku. "Je to skutečně velmi potentní červ šíří se velice rychle.
Pokud provozujete špatně nakonfigurovaný SQL Server, pravděpodobně vás napadne
velice brzy," varuje Belcher. "Současně je ale třeba říci, že tento červ
nepředstavuje pro internetovou infrastrukturu tak vážnou hrozbu jako Code Red
nebo Nimda prostě proto, že je v internetu daleko méně SQL Serverů než
Microsoft IIS serverů, které byly cílem předchozích červů," vysvětluje Belcher.

Obrana
Uživatelé mohou zmírnit hrozící nebezpečí blokováním přístupu na port 1433 z
prostředí internetu. Toto řešení doporučuje mj. Russ Cooper, moderátor diskusí
na NTBugTraqu (www.ntbugtraq.com/). "Je také důležité zajistit, že má
administrátorský účet správně nastavené heslo a že je zakázáno využití TCP/IP
síťových knihoven, pokud je nepotřebujete pro vlastní činnost," dodává Cooper.
Společnost Riptech pak také vřele doporučuje zkontrolovat konfiguraci všech
systémů, kde by třeba mohl nepozorovaně běžet SQL Server, který byl kdysi v
minulosti nainstalován a posléze se na něj "pozapomnělo". K přístupu k systému
doporučuje používat silnou autentizaci.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.