Les serveurs MySQL sous Windows sont actuellement la cible d'une variante du ver Forbot. Le parasite se propage à travers les comptes administrateurs mal protégés et accessibles depuis Internet. Plusieurs milliers de machines sont déjà infectées. L'éditeur de MySQL envisage de renforcer la sécurité du produit dans une prochaine version.

au sommaire


    MySQL grignoté par un ver

    MySQL grignoté par un ver

    Ce doit être la rançon du succès : le ver qui frappe actuellement les serveurs MySQL est le premier à s'attaquer à la base de données libre.
    Concrètement, Forbot-DY recherche des installations de MySQL sous Windows, accessibles directement depuis Internet et dont le compte administrateur est mal protégé. Il dispose notamment d'une collection de mille mots de passe courants qu'il essaiera afin de prendre pied sur la machine.

    Une fois dans la place Forbot utilise une faille locale connue (MySQL UDF Dynamic Library Exploit) afin de télécharger puis installer une porte dérobéeporte dérobée sur le serveur. C'est cette dernière (identifiable par un processus appelé spoolcll.exe) qui a permis de donner l'alerte, d'abord sur la liste de diffusiondiffusion spécialisée Full Disclosure.

    Le parasiteparasite force alors le serveur à se connecter à un salon de discussion IRCIRC et y attendre les ordres de son créateur. L'objectif de cette épidémieépidémie est donc de créer un réseau d'ordinateurs zombiesordinateurs zombies, l'une des grandes tendances de 2004. La tâche de ce réseau est pour l'instant de scanner internet à la recherche de nouvelles machines à infecter. L'Internet Storm CenterInternet Storm Center notait d'ailleurs déjà, peu avant la publication de l'alerte, une recrudescence des scans contre les ports 3306 (MySQL). A ce jour, plusieurs milliers de machines seraient infectées si l'on en croit les observateurs allés faire un tour sur le salon IRC où se retrouvent les zombies infectés.

    Il n'est pourtant pas très difficile de se protéger de cette variante de Forbot : il suffit d'interdire la connexion au compte administrateur depuis Internet (ce qui est le cas par défaut mais cette restriction est parfois levée pour les serveurs de développement) ou de protéger le serveur derrière un pare-feupare-feu lorsqu'il n'est utilisé qu'en local (par exemple lorsqu'il n'est accédé via le web qu'à travers le couple ApacheApache/PHPPHP).

    Attention cependant : MySQL est susceptible d'être utilisé dans de nombreuses applicationsapplications sans qu'il en soit fait état. On le retrouve ainsi dans des outils de backup, d'archivagearchivage ou de statistiques. Ces produits sont donc potentiellement vulnérables et il est souvent difficile de connaître la configuration de leur serveur MySQL.

    Cette première attaque a toutefois eu un impact imprévu et appréciable : l'amélioration de MySQL. Les prochaines versions bénéficieront ainsi d'un système de mises à jour automatiques et d'une installation par défaut plus robuste. C'est toujours ça de pris !