Como MySQL es una aplicación de código abierto, está instalada en su mayoría en
servidores bajo UNIX o Linux. Afortunadamente, el nuevo código malicioso sólo
ataca a las versiones de MySQL que corren bajo Windows, por lo que ataque se
mantuvo en un límite relativamente acotado. Se calcula que este primer ataque
afectó a unos 8.000 servidores y que la etapa de infección masiva sólo duró un
par de días. Distintas empresas de seguridad informaron que se logró cortar el
foco de infección al desactivar los puertos IRC de varias computadoras
centrales, que proveían instrucciones a los servidores infectados.
Según los creadores del software, la expansión del gusano no estuvo relacionada
con un problema intrínseco de MySQL, sino que en realidad la infección fue
posible gracias a la falta de pericia de algunos administradores de redes. Así,
la empresa advirtió a los responsables de los sistemas, que protejan a los
servidores con claves seguras, difíciles de adivinar, y que pongan especial
atención si existen síntomas de que el servidor está escaneando la red en
búsqueda de servidores IRC, ya que de esa manera se reproduce el gusano.
Además de las recomendaciones, y de haber deslindado responsabilidades sobre la
aparición del código malicioso, la compañía anunció que está trabajando en
mejorar la seguridad de MySQL. Por ejemplo, se incluirán nuevas funcionalidad
para que el software se pueda actualizar de manera automática y para que la
instalación por defecto sea más segura, y prevenga este tipo de ataques en el
futuro.
El gusano, también llamado Spybot.ivq por Symantec, guarda algunas similitudes
con el código malicioso Slammer, detectado hace algunas semanas. Ese gusano
también atacaba a un software de código abierto de manera automatizada. Sin
embargo -a diferencia de Slammer- para protegerse del bot de MySQL, solo basta
con tener evitar las claves “fáciles” o poco seguras en el servidor. De todos
modos, las empresas de seguridad también recomiendan a los administradores de
redes que se procuren un antivirus actualizado y que instalen firewalls en sus
servidores bajo Windows.
|