È tornato il worm SQL Slammer?

Riferendosi a recenti dati statistici raccolti da Check Point, il sito di news Security Week lancia l’allarme riguardo alla ripresa dell’attività da parte di SQL Slammer, un worm di rete di minuscole dimensioni, il quale, nel 2003, nell’arco di pochi minuti aveva letteralmente paralizzato il funzionamento di decine di migliaia di server e router.

Come ha sottolineato il reporter di Security Week, il progetto SQL Slammer si basa su codice di tipo Proof-of-Concept, illustrato, a suo tempo, nel corso della conferenza Black Hat, da David Litchfield, il quale aveva individuato un bug di buffer overflow in Microsoft SQL Server. La patch per tale vulnerabilità era già stata rilasciata sei mesi prima che iniziassero gli attacchi portati da SQL Slammer; a quanto pare, tuttavia, la patch in questione, all’epoca, non era stata ancora installata su un elevato numero di computer.

Il worm “bodyless” SQL Slammer si insedia esclusivamente nella memoria operativa; esso è noto anche come Sapphire Worm e Helkern, ed ha una dimensione di soli 376 byte: questo significa che SQL Slammer può essere agevolmente collocato all’interno di un singolo pacchetto di rete. Una simile caratteristica aveva a suo tempo consentito al worm in causa di potersi propagare in maniera autonoma, e con grande rapidità, in tutto il mondo.

Secondo i ricercatori, lo sfruttamento della vulnerabilità individuata in SQL Server viene realizzato, in tal caso, mediante l’invio di una specifica richiesta alla porta UDP 1434. Una volta generata l’infezione, il worm inizia a trasmettere rapidamente lo stesso identico payload nocivo ad indirizzi IP casuali, provocando una situazione di denial of service sul dispositivo sottoposto ad attacco.

Secondo Kaspersky Lab, la temibile minaccia IT ha continuato ad esistere su Internet per circa otto anni; all’inizio del 2011, tuttavia, il livello di attività manifestato da SQL Slammer è bruscamente diminuito, di almeno dieci volte.

Da allora, il worm è comparso solo sporadicamente sulla scena del malware; ad ogni caso, alla fine dello scorso anno, Check Point ha rilevato un repentino e massiccio aumento del numero degli attacchi informatici riconducibili a tale worm. Di fatto, nel periodo intercorrente tra il 28 novembre e il 4 dicembre, SQL Slammer è risultato di nuovo essere nel novero dei malware rilevati con maggiore frequenza dalla suddetta società.

Sono stati osservati tentativi di infezione in ben 172 diversi paesi; un quarto dei casi complessivamente individuati si è prodotto sul territorio degli Stati Uniti. La maggior parte del traffico nocivo ha avuto origine da indirizzi IP riguardanti Cina, Vietnam, Messico e Ucraina.

Fonte: Securityweek

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *