jueves, 21 de agosto de 2003

SQL/Slammer deja KO los sistemas informáticos de una central nuclear

Como recordarán los lectores habituales de "una-al-día", el pasado mes
de enero apareció uno de los gusanos con mayor incidencia de los
últimos tiempos: SQL/Slammer. Pasados más de seis meses todavía se van
conociendo nuevos efectos que produjo, como poner en jaque los
sistemas de monitorización de una central nuclear de los Estados
Unidos.

SQL/Slammer fue un gusano que apareció a finales de enero del presente
año. Aprovechándose de una vulnerabilidad bastante antigua de
Microsoft SQL Server, consiguió afectar seriamente el funcionamiento
global de la red Internet. No sólo por afectar directamente a una
gran cantidad de servicios que utilizaban versiones vulnerables del
software (ya sea por la ausencia del parche o por haber instalado un
parche posterior que eliminaba el parche específico de la
vulnerabilidad), sino por que la gran cantidad de tráfico que generó
afectó negativamente a una gran cantidad de redes de todo el planeta.

Ese gusano destacó especialmente por su vorágine y velocidad de
propagación. Por ejemplo, podemos recordar que cada 8,5 segundos el
gusano conseguía doblar el número de sistemas infectados y que en sólo
diez minutos consiguió introducirse e infectar 75.000 ordenadores.

Hoy, a través de SecurityFocus, hemos tenido conocimiento de un hecho
que sucedió durante ese fin de semana de enero en el apogeo de
SQL/Slammer: infectar la red de monitorización de una central nuclear,
dejándola inoperativa durante cinco largas horas.

El incidente, según se revela en un informe de la empresa que gestiona
esa central nuclear enviado a la comisión de regulación nuclear,
sucedió más o menos de la siguiente forma:

El gusano SQL/Slammer empezó a introducirse a través del enlace
existente entre la central nuclear y una empresa subcontratada que
realizaba trabajos para la misma. Esta conexión ignoraba los
mecanismos de protección perimetral existentes para la separación de
la red informática de la central nuclear e Internet. Esta fue la
entrada del gusano.

Una vez dentro dentro de la red de producción de la planta nuclear,
infectó un sistema SQL Server vulnerable. Debido a la gran cantidad de
tráfico que llegó a generar este sistema vulnerable, la consola de
monitorización SPDS de la planta nuclear quedó colgada.

Entre las funciones que realiza la consola SPDS se encuentra la
monitorización de los sistemas de refrigeración, los sensores de
temperatura del reactor y los medidores de radiación. Se trata de
elementos críticos para la seguridad de la central, que deben ser
vigilados de forma permanente.

En total, estos sistemas de monitorización estuvieron casi cinco horas
inoperativos, Cinco horas durante los cuales los responsables de la
central nuclear no podían controlar las constantes de funcionamiento
de la central. Si se hubiera producido cualquier situación excepcional
durante ese periodo de tiempo, no hubiera sido posible su rápida
detección.


Xavier Caballé
xavi@hispasec.com


Más información:

Slammer worm crashed Ohio nuke plant network
http://www.securityfocus.com/news/6767

SQL Slammer Worm Lessons Learned for Consideration by the Electricity Sector
http://www.esisac.com/publicdocs/SQL_Slammer_2003.pdf

una-al-día (26-01-2003) - Alerta: Gusano para MS-SQL
http://www.hispasec.com/unaaldia/1554

una-al-día (27-01-2003) - Lecciones del gusano MS-SQL
http://www.hispasec.com/unaaldia/1555

The Spread of the Sapphiere/Slammer Worm
http://www.caida.org/analysis/security/sapphire/