martes, 21 de mayo de 2002

Nuevo gusano SQLsnake ataca servidores SQL server

En las últimas horas se está registrando una elevada actividad de
escaneo del puerto 1433, habitualmente asociado a Microsoft SQL
Server. El informe inicial publicado por incidents.org revela que
se trata de un nuevo gusano.
El puerto 1433/tcp es utilizado en la configuración por defecto
por Microsoft SQL Server. Cuando se instala este gestor de base
de datos, se crea una cuenta por omisión (SA), con privilegios de
administración y sin contraseña. Muchos administradores de SQL
Server cometen el error de dejarla activa y no le asignan ninguna
contraseña. Mediante la utilización de esta cuenta, se pueden
ejecutar órdenes arbitrarias de SQL para, por ejemplo, leer o
escribir bases de datos.

Este nuevo gusano descubierto, que actúa de forma automática,
aprovecha estas cuentas de administración sin contraseña. Entre
otras cosas, envía por correo electrónico una relación de las
contraseñas del sistema a una dirección de correo electrónico
(que, a primeras horas de esta tarde, devolvía un mensaje de
error por sobrepasar la cuota máxima permitida).

Tal como recoge incidents.org, el gusano en estos momentos
representa una importante actividad, tal como puede comprobarse
en el gráfico

http://isc.incidents.org/port_details.html?port=1433&tarax=1

(la línea roja indica el número de sistemas que realizan
actividades de escaneo contra este puerto).

Protección básica

1) Bloquear, en los sistemas de protección perimetral, el acceso
al puerto 1433/tcp.

2) Verificar que todos los servidores SQL Server disponen de los
diferentes parches publicados y que se ha establecido una
contraseña para la cuenta SA

3) Utilizar, siempre que sea posible, syskey para una mayor
seguridad en las contraseñas del sistema operativo

4) Bloquear la dirección de correo ixltd@postone.com (la
dirección donde se envían las relaciones de contraseñas).

Debe tenerse presente que algunos productos, como Visio
Enterprise Edition o Access 2000 (en este último caso, se instala
opcionalmente), instalan una versión de SQL Server. Estos
sistemas son, por tanto vulnerables a la actividad del gusano.
Para reconocer posibles sistemas dentro de nuestras redes, puede
realizarse un escaneo de puertos para comprobar que sistemas
tienen el puerto 1433/tcp activo.



Xavier Caballé
xavi@hispasec.com