¿SQL Slammer ha vuelto?

Citando las últimas estadísticas de Check Point, el sitio de noticias Security Week advierte que de nuevo está activo el pequeño gusano SQL Slammer, que en 2003 paralizó el trabajo de decenas de miles de servidores y routers a los pocos minutos de infectarlos.

El reportero de la Security Week señala que el proyecto SQL Slammer se basa en un código PoC presentado en la conferencia Black Hatun por David Litchfield, que descubrió un error de desbordamiento de búfer en Microsoft SQL Server. El parche para esta vulnerabilidad se había publicado seis meses antes de los primeros ataques de SQL Slammer, pero al parecer no todos los equipos lo tenían instalado.

El gusano SQL Slammer es un malware sin cuerpo (existe solo en la RAM). Se lo conoce también como Sapphire Worm y Helkern, tiene un tamaño de 376 bytes y entra cómodamente en un paquete de red. Esta característica le ayudó a extenderse rápidamente por todo el mundo.

Según los investigadores, la explotación de las vulnerabilidades de SQL Server en este caso se lleva a cabo mediante el envío de una solicitud especial al puerto UDP 1434. Una vez realizada la infección, el gusano comienza a enviar rápidamente la misma carga útil a direcciones IP al azar y provoca un estado de negación de servicio en el dispositivo de destino.

Según Kaspersky Lab, la peligrosa amenaza siguió existiendo en Internet por cerca de ocho años, pero a principios de 2011, la actividad de SQL Slammer disminuyó bruscamente, reduciéndose a una décima parte.

Desde entonces, sus manifestaciones fueron mínimas, pero al final del año pasado Check Point registró un fuerte aumento en el número de ataques asociados con este gusano. En el período entre el 28 de noviembre y el 4 de diciembre, SQL Slammer de nuevo estuvo entre el malware más detectado por esta empresa.

Se observaron intentos de infección en 172 países de todo el mundo y una cuarta parte de los casos fue en los Estados Unidos. La mayor parte del tráfico malicioso provenía de direcciones IP en China, Vietnam, México y Ucrania.

Fuentes: Securityweek

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *