SQL Server-orm kan nyttes til distribuert tjenestenekt

Sikkerhetsselskapet SecurityFocus advarer om en ny orm som infiserer maskiner med svakt konfigurert SQL Server. Ormen kan styres via IRC-tjenester til å iverksette DDoS-angrep.

SecurityFocus advarte i går kveld norsk tid at ormen, døpt Voyager Alpha Force, hadde plutselig begynt å spre seg svært raskt, til rundt 300 maskiner i løpet av seks timer. Selskapet beskriver den nye ormen som en utvidet variant av Kaiten, et eldre verktøy for distribuert tjenestenekt - DDoS eller "distributed denial of service".

Ormen oppsøker aktivt mulige ofre ved systematisk scanning av IP-adresser. Samtidig melder den seg på passord-beskyttede IRC-kanaler ("Internet relay chat", altså kanaler for utveksling av meldinger i sanntid), der den venter på kommandoer som angir hvilken webadresse tjenestenektangrepet skal rettes mot. SecurityFocus har ikke registrert at det er iverksatt slike angrep gjennom ormen, men advarer at selv noen hundre maskiner kan skade webtjenester når de koordineres i et tjenestenektangrep.

For å smitte en maskin, er ormen avhengig av at den kjører SQL Server med blank passord for systemadministrator-kontoen, kjent som "sa", og porten som IRC bruker er åpen. Mottiltakene er følgelig svært enkle: Beskytt sa-kontoen med passord, og bruk en brannmur til å sperre port 1433.

Mer informasjon er tilgjengelig fra nettstedet til SecurityFocus.

Til toppen