Támad az új SQL Server féreg

A számítógépes biztonsági szakértők a napokban egy olyan internetes féregprogramra bukkantak, amely a jelszó nélküli, illetve alapértelmezett jelszóval ellátott SQL Server rendszereket támadja.

A féregprogram elárasztotta az Internetet és a vállalati hálózatokat, miközben folyamatosan kutat a védtelen adatbázis szerverek után. A vírus először hétfőn bukkant fel, és tevékenysége egyes hálózatokon rövid idő alatt 40-szeres túlterhelést eredményezett.

Keith Morgan, a webes technológiákkal foglalkozó Terradon Communications Group információbiztonsággal foglalkozó vezetője kedden úgy nyilatkozott, hogy a társaság a vírus felbukkanása előtt napi 30 bemeneti ellenőrzést mért rendszerein naponta, ami hétfőn 700-ra, kedden pedig 1300-ra ugrott. A Terradon Communications esete azonban nem egyedülálló, számos más társaság is hasonló aktivitás növekedést regisztrált.

A Security Administration Networking and Security Institute (SANS) intézet Incidents.org nevű weboldala szerint hétfőn 8700, kedden pedig 74 ezer szervert vett célba a féregprogram. Az Incidents.org által SQLSnake névre keresztelt féreg keddig mintegy 2450 szervert tudott megfertőzni.

A vírus, amelynek a Symantec és Network Associates cégek a Spida.a.worm, a SecurityFocus pedig a DoubleTap nevet adták, a Microsoft SQL Server szoftverét futtató számítógépeket támadja. A féreg abban az esetben tud fertőzni, ha a szoftveróriás áprilisban kiadott javítása nincs feltelepítve az adott rendszeren, és az adatbázis adminisztrátor nem rendelkezik jelszóval.

A JavaScript nyelven készült féregprogram a rendszerbe való bejutás után adminisztrátori jogokat ad a vendég (Guest) felhasználói csoportnak, lehetővé téve a rendszer fölötti irányítás átvételét. A vírus ezután megváltoztatja az adminisztrátor jelszavát, hogy ne alakulhasson ki többszörös fertőzés.

A féregprogram csak a Microsoft SQL Server 7.0-ás verzióját érinti, mivel az SQL Server 2000-ben kötelező az adminisztrátori jelszó megadása.

A vírus a szakértők szerint nem fog széles körben elterjedni, mivel csak azokat a rendszereket tudja megfertőzni, amelyeken az SQL Server közvetlen kapcsolatban áll az Internettel, és az adminisztrátor nem rendelkezik jelszóval. A két feltétel együttes megléte pedig óriási adminisztrátori felelőtlenségre utal.