Uusi SQL-mato leviää erittäin aggressiivisesti

25.1. on havaittu leviämässä erittäin aggressiivisesti uusi Sapphire-nimellä kutsuttu SQL-mato. Erittäin aktiivisesta leviämismekanismista johtuen mato synnyttää valtavan määrän skannausliikennettä, mikä aiheuttaa verkon infrastruktuurille ongelmia. Eri puolilla Internetiä on havaittu laajoja palvelunestotilanteita. Madon aiheuttama liikenne kohdistuu ainakin TCP- ja UDP-porttinumeroon 1434.

Mato käyttää hyväksi tunnettua Microsoft SQL -palvelinohjelmiston puskuriylivuotohaavoittuvuutta (katso CERT-FI varoitus 44/2002). Mato ei saastuta eikä käytä millään tavoin hyväksi kohdejärjestelmän kiintolevyä, vaan se toimii ainoastaan prosessina järjestelmän muistissa.

Varoituksen kohderyhmä

Mato kykenee saastuttamaan Microsoft SQL -palvelimia, joissa on CERT-FI varoituksessa 44/2002 mainittu haavoittuvuus.

Ratkaisu- ja rajoitusmahdollisuudet

Uudelleen käynnistä ja PÄIVITÄ haavoittuva tietojärjestelmä Microsoft tietoturvatiedotteen MS02-039 mukaisesti:

http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

Pelkkä uudelleenkäynnistäminen puhdistaa saastuneen tietojärjestelmän, mutta aggressiivisen leviämismenetelmän johdosta mato saastuttaa välittömästi haavoittuvan tietojärjestelmän.

Ne Microsoft SQL -palvelimet, joiden päivittäminen ei ole mahdollista, tulee välittömästi poistaa avoimesta verkosta tai estää pääsy niihin palomuurin avulla.

Yleisohjeena CERT-FI suosittelee edellä mainitun päivityksen lisäksi myös kaikkien uusimpien Microsoft SQL-palvelimien turvallisuuspäivitysten asentamista.

Lisätietoa

http://isc.incidents.org/analysis.html?id=180

http://www.eeye.com/html/Research/Flash/AL20030125.html

http://www.f-secure.fi/v-descs/mssqlm.shtml

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248