Rete intasata per un worm stagionato?

…ovvero come eliminare i problemi eliminando i sistemistiincompetenti.

Il 25 gennaio è stato forse il giorno più critico per la rete internet negli ultimi tempi.
Il dubbio che qualcosa non funzionasse mi era balzato agli occhi quando per la prima volta in due anni il mio server su www.intermedia.net non rispondeva… nessuna e-mail funzionava…
Ho provato con altri web sites ed il risultato era lo stesso.

Mi sono fatto un girettino nel newsgroup it.lavoro.professioni.webmaster ed ho notato che stavano nascendo diversi post di cui il più interessante quello del vecchio Claudio Erba di www.spaghettibrain.com:

Forse è questo? Da Bugtraq.

I'm getting massive packet loss to various points on the globe.
I am seeing a lot of these in my tcpdump output on each
host.

02:06:31.017088 150.140.142.17.3047 > 24.193.37.212.ms-sql-m:  udp 376
02:06:31.017244 24.193.37.212 > 150.140.142.17: icmp: 24.193.37.212 udp
port ms-sql-m unreachable [tos 0xc0

It looks like there's a worm affecting MS SQL Server which is
pingflooding addresses at some random sequence.

All admins with access to routers should block port 1434 (ms-sql-m)!

Everyone running MS SQL Server shut it the hell down or make
sure it can't access the internet proper!

I make no guarantees that this information is correct, test it
out for yourself!

A seguito di questo post è arrivato un pronto intervento (meglio di E.R.) del buon Daniele Bochicchio dove nel suo ASPITALIA.COM  ha prontamente illustrato il problema.

Come al solito il problema è dovuto ad una falla software (in questo caso di MS SQL Server 2000) ma ciò che salta agli occhi è che il problema è relativo ad un aggiornamento reso disponibile ancora nel mese di luglio del 2002.

Questo worm invia pacchetti dalla porta 4741 in locale una volta infettatto, verso la porta 1434 di altri server ed in questo modo infetta gli altri server. Le soluzioni, a parte installare la patch del 17 Luglio 2002, riportata nel MS02-039 (ed ora disponibile nel SP3 di MS SQL Server 2000), prevedono la possibilità di bloccare tutto il traffico in uscita proveniente dalla porta 4741. Ovviamente tutti i sistemi senza patch e con firewall aperti hanno subito danni ed hanno contribuito a rendere la rete così instabile.

Una descrizione maggiormente dettagliata ed un tool per la rimozione del worm è disponibile all’indirizzo: http://www.eeye.com/html/Research/Flash/AL20030125.html.

Ora è da chiedersi come migliaia di sistemisti non abbiano applicato una patch per una vulnerabilità così pericolosa e come abbiano di fatto il coraggio di definirsi sistemisti: legalmente hanno causato sia un danno alla propria azienda che in generale alla collettività e, anche se non verranno mai perseguiti per questo, di fatto hanno consentito a molti clienti di valutare la serietà professionale del proprio servizio di hosting e dei relativi sysadmin.

E’ aberrante che dei database administrator e/o dei server administrator non abbiano recepito la pericolosità derivante dalla mancata applicazione della patch e dei relativi avvisi comparsi in liste tecniche come http://www.nextgenss.com/advisories/mssql-udp.txt.

Come al solito poi la negligenza di pochi ricade su molti e di fatto la rete internet è rimasta paralizzata per ore ed ore solo perchè alcuni "professionisti" non hanno applicato delle patch di aggiornamento tra l’altro distribuite gratuitamente.

Per fortuna poi piano piano la rete ha ripreso il suo corso (ringrazio per la pressante telecronaca degna di Bruno Pizzul a cura di Stefania Pizzocaro di www.ewebb.it, e quindi comprendo il suo socio nonchè suo compagno nonchè mio amico) e tutto è tornato com’era… fino al prossimo worm.