Convierten servidores MySQL en bots DDoS

Share this…

Servidores MySQL han sido comprometidos en todo el mundo y son utilizados para lanzar ataques DDoS. La víctima más reciente de este ataque es un proveedor estadounidense de alojamiento y hosting además de una dirección IP china.

La mayoría de los servidores afectados en esta campaña se encuentran en la India, China, Brasil y los Países Bajos, pero se pueden encontrar otros en todo el mundo.

“Creemos que los atacantes comprometen servidores MySQL para aprovechar su gran ancho de banda. Con estos recursos, los atacantes podrían lanzar grandes campañas DDoS comparadas con el uso de equipos de usuarios tradicionales,” explicaron los investigadores de Symantec. “MySQL es también el segundo sistema manejador de base de datos más popular del mundo, dando a los atacantes una amplia gama de objetivos potenciales.”

Los investigadores no dicen cómo fueron comprometidos muchos servidores, pero se dice que utilizaron una variante del troyano Chickdos para hacer a los servidores escuchar sus órdenes. La variante es muy similar a los troyanos Chickdos iniciales, descubiertos por primeta vez en diciembre de 2013.

Los atacantes realizan un ataque de inyección SQL con el fin de instalar una función maliciosa definida por el usuario (user-defined function) en el servidor de destino, que se carga luego en MySQL y es ejecutada.

La UDF actúa como un downloader, pero también modifica las entradas del registro para habilitar TerminalServices, de esta forma los atacantes pueden controlar el servidor comprometido desde una ubicación remota; algunas veces se añade un nuevo usuario al sistema. Finalmente descarga dos variantes del troyano Chikdos de dos sitios web comprometidos.

“En la última campaña Chikdos que observamos, los atacantes probablemente usaron un escáner automatizado o, posiblemente, un gusano para comprometer los servidores MySQL e instalar la UDF. Sin embargo, el vector de infección no ha sido identificado”, anotaron los investigadores.

Los investigadores han proporcionado los hashes tanto del programa de descargacomo del troyano de DoS, así los administradores pueden comprobar sus sistemas en busca de señales de compromiso.

Los investigadores aconsejan a los administradores nunca ejecutar servidores SQL con privilegios de administrador (si es posible) y actualizar regularmente las aplicaciones que los utilizan.

También los instó a seguir las buenas prácticas de programación para mitigar vulnerabilidades de inyección SQL, y para comprobar la presencia de nuevas cuentas de usuario, de esta forma se garantiza que los servicios de acceso remoto se configuran de forma segura.

Fuente:www.seguridad.unam.mx