En Enero de 2003 un gusano informático, ahora conocido como Slammer, ataco Internet.

El gusano se propagó de manera descontrolada a través de sistemas que utilizaban una versión específica de SQL afectando al servicio de emergencias de Estados Unidos.

En apenas diez minutos este gusano fue capaz de infectar miles de servidores por todo el mundo haciendo que Internet se colapsara de manera global.

Sus intentos de ataques se registraron en un total de 170 países, haciendo que Corea del Sur sufriera un apagón de Internet y que más de 13.000 cajeros automáticos del Bank of América en Estados Unidos se vieran afectados por el virus. Se detectó que el origen de muchos ataques provenía de países como México, China, Vietnam o Ucrania.

A través de una vulnerabilidad  de tipo desbordamiento de buffer en distintos productos de Microsoft SQL Server donde no se habían instaladoel Service Pack 3, Slammer enviaba un paquete de aproximadamente 380 bytes al puerto 1434 UDP, los sistemas vulnerables y ya infectados, empezaban a enviar de manera inmediata este mismo paquete provocando un ataque DDoS o de denegación de servicios distribuido.

Algunas de las señales más evidentes que hacía sospechar que Slammer se había podido introducir en los sistemas podrían ser:

  1. Aumento de trafico de red en el puerto UDP 1434 – SQL Server Resolution Service Port.
  2. Posibilidad de caída del servicio de correo.
  3. Bloqueo de la red.
  4. Ralentización de Internet.

Las maquinas domesticas en su gran mayoría no se vieron afectadas a menos que tuvieran instaladas Microsoft SQL Server Data Engine. Al ser un código tan pequeño, este no tenía capacidad para poder copiarse en los discos duros, por lo que permanecía almacenado en memoria, esto hizo que su limpieza y eliminación fuera bastante sencilla. Hoy en día existen por la red distintas herramientas de desinfección gratuitas, desarrolladas por varias compañías de seguridad informática.

Paradójicamente la vulnerabilidad que aprovechaba este virus fue reportada en Julio de 2002 y existía un parche para su securización que fue lanzado seis meses antes de la creación de Slammer.

Aunque SQL Slammer era fácil de eliminar, reveló importantes brechas de seguridad. A partir de entonces se tomó mucho más conciencia sobre la actualización de los sistemas y la instalación de parches de seguridad.

¿Cuál ha sido la moraleja que nos ha dejado Slammer? Si existe un parche de seguridad para una vulnerabilidad conocida lo mejor que podemos hacer es incluirla en nuestros sistemas, ¿Qué es lo peor que nos puede pasar? ¿Qué tengamos que reiniciar el servidor de SQL?

Para concluir el artículo hay que comentar que en el año 2017 los sistemas de análisis de la compañía de seguridad Checkpoint detectaron nuevos intentos de ataques por parte de SQL Slammer. Los orígenes de dichos ataques fueron detectados en China, Vietnam, México y Ucrania con objetivos tan importantes como Estados Unidos, Israel o Reino Unido

Acerca de Fran Ramirez

Técnico superior en administración de sistemas informáticos / Certificado Cisco CCNA / Auditor de seguridad informática /

Categoría

Cyber

Etiquetas

, , , ,