www.MegaLab.it

Un massiccio attacco ai server MySQL mal amministrati è stato avviato da un anonimo gruppo di cracker durante il fine settimana appena trascorso.

Utilizzando un bot ora noto come MySpooler, il gruppo ha già preso possesso di un vasto numero di server, che, secondo alcuni istituti di rilevazione, durante la giornata di sabato sono cresciuti al ritmo di 100 per minuto.

MySQL AB, il gruppo che sviluppa e distribuisce il celebre database open source, ha comunque tenuto a precisare che non si tratta di una vera e propria vulnerabilità del prodotto, ma dell'incuria posta dagli amministratori nella scelta della password: una volta identificata una macchina server con MySQL in esecuzione, il bot tenta infatti un attacco di forza bruta verso l'account root, utilizzando una serie di password presenti in una lista predefinita per accedere al sistema.

Una volta scoperta la password di root, il bot utilizza una funzionalità nota come User Defined Function (UDF) del database per scaricare ed eseguire MySQL UDF Worm un verme che permette ad un utente ostile di prendere pieno controllo dei sistemi infettati: potrebbe inoltre utilizzare il sistema aggredito come testa di ponte verso assalti di gruppo, ad esempio in attacchi di tipo Distributed Denial of Service rivolti verso terze parti.

Non contento, il worm tenta di replicarsi su tutti i server MySQL raggiungibili dalla macchina infettata.

Il SANS Internet Storm Center ha rilevato fino ad ora più di 10.000 connessioni al server IRC che distribuisce il worm e le istruzioni di propagazione, cifra destinata comunque a crescere ancora nelle prossime ore.

Il gruppo MySQL AB consiglia di controllare le proprie password alla prima occasione, e di utilizzare il comando DROP FUNCTION app_result; sul database dei permessi mysql per pulire eventuali infezioni.

È inoltre raccomandabile per tutti gli amministratori di rete bloccare il traffico da remoto sulla porta 3306 TCP.