Un ver se propage en exploitant la faiblesse des mots de passe des bases de données MySQL

Par Grégory Le Bras le Vendredi 28 Janvier 2005 à 22:17:33

Le SANS Institute's Internet Storm Center a annoncé ce mardi la découverte d'un bot MySQL qui exploite une faiblesse de l'installation par défaut de MySQL sur les systèmes Windows.

Le programme malveillant, connu sous le nom de son fichier exécutable "spoolcll.exe" infecte uniquement les bases de données MySQL de versions 4.0.21 ou supérieures installées sur un système Windows. Selon l'Internet Storm Center[1], le ver contaminerait 100 machines par heures, plus de 8000 machines pourraient être infectées.

Pour se répandre, le ver se connecte à une liste de serveurs IRC en ouvrant les ports 5002 et 5003, puis il scanne les réseaux à la recherche de serveurs de base de données MySQL.

Il parvient ensuite à obtenir un accès à la base de données du serveur MySQL en devinant le mot de passe de l'administrateur grâce à une liste de mots de passe utilisés couramment.

"Une longue liste de mots de passe est incluse dans le bot, si le mot de passe MySQL n'est pas présent dans la liste, le bot lance une attaque de type brute-force afin de le cracker", commente l'avis de l'Internet Storm Center.

Il exploite ensuite une faille de sécurité connue sous le nom de "MySQL UDF Dynamic Library"[2] permettant à un utilisateur doté de permissions administrateur d'accéder à des fonctions supplémentaires.

Une fois connecté, le bot créait une table temporaire nommée "bla" dans la base de donnée "mysql". Cette base de donnée installée par défaut est habituellement utilisée pour stocker des informations administratives tels que des mots de passe.

Lorsque la table est créée, le code de l'exécutable malveillant y est introduit par l'intermédiaire de la commande INSERT. Le contenu de cette table est ensuite copié dans un fichier nommé "app_result.dll" par l'intermédiaire de la requête "SELECT * FROM bla INTO DUMPFILE app_result.dll". La table "bla" est supprimée une fois que le fichier a été créé.

Afin d'être exécuté sur la machine infectée, le bot créait une fonction mysql nommée "app_result" qui utilise le fichier "app_result.dll" sauvegardé précédemment. Lorsque la fonction est exécutée, le bot est chargé puis exécuté sur le système.

Il parvient ainsi à exécuter un cheval de Troie de porte dérobée sur la machine infectée dans le but de prendre le contrôle total du système. Le ver fait par ailleurs office de serveur FTP et ouvre certains ports sur un système infecté, notamment les ports TCP 2301 et 2304.

Il pourrait également contenir des fonctions capables de lancer une attaque par déni de service distribuée, explique le SANS Institute.

Parce qu'il s'attaque aux systèmes Windows, ce programme ressemble beaucoup au ver Slammer qui a sévis très rapidement il y a 2 ans. Cependant, à la différence de Slammer, un mot de passe complexe est la protection la plus adéquate contre ce ver, explique l'analyse du SANS Institute.

Il est également fortement recommandé de n'autoriser l'accès administrateur de la base de données MySQL qu'aux simples connexions locales, de restreindre l'accès au port 3306 via l'installation d'un pare-feu, et bien entendu de mettre les définitions de son antivirus à jours.