Un codicillo si annida in MySQL

Capace di tendere agguati da IRC, un nuovo bot prende di mira i server Windows su cui gira MySQL tentando di forzare la password per l'account di root. Migliaia i sistemi già infettati
Capace di tendere agguati da IRC, un nuovo bot prende di mira i server Windows su cui gira MySQL tentando di forzare la password per l'account di root. Migliaia i sistemi già infettati


Roma – Un tarlo capace di insinuarsi all’interno di alcuni server di database e prenderne il controllo. Questo, in estrema sintesi, l’identikit di un nuovo bot che verso la fine della scorsa settimana ha infettato oltre 8.000 sistemi su cui girava MySQL per Windows.

Chiamato “MySQL bot”, il codice malevolo è la variante di un ceppo di bot capaci di infettare un sistema attraverso IRC e di sfruttare questo stesso mezzo per ricevere comandi dal proprio “padrone”. La nuova variante è una delle prime a prendere di mira la versione per Windows del noto database open source MySQL.

Una volta dentro ad un sistema, il bot cerca di autenticarsi all’interno del database MySQL come utente “root”: il programma tenta di indovinare la password utilizzando un attacco di forza bruta basato su di un nutrito dizionario di termini comuni. Se la password è molto corta o molto semplice, il bot potrebbe essere in grado di trovarla nel giro di pochi secondi.

Nel caso riesca a forzare il database, MySQL bot utilizza una funzione chiamata User Defined Function (UDF) per caricare in memoria il codice malevolo contenuto all’interno di un file salvato in precedenza con il nome di app_result.dll . A questo punto il bot tenta di connettersi ad alcuni server IRC per ricevere nuove istruzioni: una di queste comandava al codicillo di scandire la rete, inclusa quella locale, alla ricerca di altri server potenzialmente vulnerabili.

Il SANS Institute ha detto che la diffusione del bot è stata fermata lo scorso venerdì con la chiusura di tutti i canali IRC da cui veniva diffuso e controllato.

MySQL AB , la società svedese che sviluppa l’omonimo database open source, ha tenuto a sottolineare come il nuovo bot non sfrutti alcuna vulnerabilità del proprio software: la “camola” digitale fa unicamente leva su alcune debolezze nella configurazione di sicurezza di reti e server.

Sia MySQL AB che il SANS Institute suggeriscono agli amministratori di prevenire questo genere di attacchi adottando password più robuste, restringendo l’accesso all’account di root ai soli host fidati e istruendo i firewall affinché blocchino l’accesso, dall’esterno, ad alcune porte del server.

L’advisory pubblicato dal SANS Institute si trova qui .

Link copiato negli appunti

Ti potrebbe interessare

30 01 2005
Link copiato negli appunti