Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il malware Chikdos sfrutta server MySQL per lanciare attacchi DDoS

Chikdos  denial-of-service  MySQL  trojan   venerdì, 30 ottobre 2015

I ricercatori di sicurezza di Symantec hanno scoperto una nuova variante del malware Chikdos, utilizzato dagli attaccanti per compromettere server MySQL con lo scopo di condurre attacchi DDoS (Distributed Denial of Service) contro altri bersagli.

L’attacco avviene iniettando inizialmente una User-Defined Function (UDF) malevola nel server con funzione di downloader (Downloader.Chikdos). Quando la UDF viene eseguita da MySQL su server Windows, questa va a modificare diverse voci di registro per abilitare i servizi di accesso remoto (Terminal Services) che vengono quindi sfruttati per scaricare da remoto il malware responsabile del DDoS, identificato da Symantec come una variante di Trojan.Chikdos.A.

La possibilità di definire funzioni d’utente è una caratteristica estremamente versatile dell’applicazione server MySQL e fornisce un meccanismo che permette agli sviluppatori di estendere le funzionalità di questo DBMS per soddisfare particolari esigenze applicative.

Stando a quanto riportato da Symantec, la maggior parte dei server compromessi si trova in India (25%), seguita da Cina (15%), Brasile (9%), Paesi Bassi (9%) e USA (8%). Gli attacchi hanno interessato un indirizzo IP cinese e un hosting provider americano.

Grafico a torta delle percentuali di infezioni di Chikdos per paese.

Percentuali di infezioni di Chikdos per paese.
Immagine © 2015 Symantec Corporation

Le motivazioni che hanno spinto i creatori di Chikdos a prendere di mira i server MySQL risiedono nella larga diffusione di questo applicativo (MySQL è il secondo DBMS relazionale più diffuso al mondo, dietro Oracle) e nell’ampiezza di banda tipicamente a disposizione di questo tipo di server, che consente di lanciare campagne di attacchi DDoS più ampie.

Chikdos non è una novità nel panorama del malware, in quanto era già stato documentato nel dicembre 2013. In questa nuova campagna di infezioni, gli attaccanti hanno presumibilmente utilizzato strumenti di scansione automatici o, forse, un worm, per compromettere i server MySQL e installare la UDF malevola, probabilmente sfruttando vulnerabilità di tipo SQL injection. In realtà, l’esatto vettore di infezione non è stato identificato con certezza.

Per proteggersi da questo tipo di attacchi, è buona pratica configurare, ove possibile, i server SQL per essere eseguiti con privilegi non elevati. Le applicazioni che utilizzano il server SQL debbono essere regolarmente aggiornate per limitare i rischi legati a vulnerabilità SQL injection.

Notizie correlate

Vulnerabilità critica in VLC media player

24 luglio 2019

È stata recentemente scoperta una vulnerabilità critica in VideoLAN VLC media player che può consentire l'esecuzione di codice arbitrario.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (luglio 2019)

11 luglio 2019

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto

Aggiornamenti di sicurezza per prodotti VMware

3 luglio 2019

VMware ha rilasciato un avviso di sicurezza relativo a due vulnerabilità nell'implementazione di TCP SACK del kernel Linux che affliggono un gran numero di prodotti.Leggi tutto