Roma – In questi giorni molti organi e firme di sicurezza, fra cui SecurityFocus e SANS Institute , hanno riferito di un preoccupante incremento nel numero di tentativi di attacco alla porta TCP 1433, comunemente utilizzata dal database Microsoft SQL Server. Riptech , un fornitore di servizi di sicurezza, ha riportato che nella giornata di ieri le scansioni della porta 1433 sarebbero addirittura aumentate di 100 volte rispetto alla norma.
La colpa di un tale iperattività sulla porta incriminata sarebbe da imputare, secondo il SANS, all’arrivo di un nuovo worm scritto in JavaScript, e battezzato SQLsnake, che tenta di loggarsi su di un server remoto utilizzando un cracckatore di password in grado di generare attacchi di “forza bruta”.
In un avviso di sicurezza, ieri Trend Micro ha spiegato che il virus tenta di accedere al server MS SQL loggandosi con il nome utente “sa” e password nulla: questo è l’account di default utilizzato dal server per la prima configurazione. Trend Micro non fa per altro menzione al fatto che il worm sia anche in grado di cracckare le password.
Nel caso l’account di amministrazione del server utilizzi una password poco sicura, il worm potrebbe essere in grado di guadagnare i massimi privilegi ed eseguire comandi o codice. Il vermicello sarebbe poi stato programmato per inviare verso un indirizzo di e-mail di Singapore una lista di password prelevate dal server.
Il SANS sostiene che, a ieri, sarebbero quasi 1.500 i sistemi compromessi dal worm, la maggior parte dei quali situati in USA, Canada, Francia, Taiwan e Cina.
Per proteggersi da questa nuova minaccia, Riptech ha suggerito agli amministratori di sistema di assicurarsi che le password di amministrazione del database siano sufficientemente robuste e di limitare l’accesso al demone MSSQL ai soli sistemi attendibili (Web server, applicazioni interne, ecc.) che necessitino di interagire direttamente col database.