Se è vero che una delle prede più appetibili da parte dei cracker sono le infrastrutture database è anche vero che il trend attuale vede tra le vittime più gettonate Microsoft SQL server.
Durante le ultime rilevazioni condotte dallo staff è risultato che la porta di rete più soggetta a probing sui server monitorati è la 1433, comunemente utilizzata proprio da SQL server. L’analisi delle porte di rete più bersagliate aiuta a decifrare l’andamento della diffusione di exploit e minacce generiche.
Rilevare un massiccio flusso di pacchetti verso una singola porta può presupporre che :
- in rete si stia diffondendo velocemente un nuovo exploit 0day diretto in questo caso verso SQL server
- sia in corso un attacco coordinato da parte di una o più botnet per sfruttare eventuali dati trafugati successivamente ad un exploit portato a termine con successo
Il dato interessante è anche la collocazione geografica delle sorgenti di attacco. Circa i pacchetti diretti verso la porta 1433 è risultato che il maggior numero di indirizzi ip è situato in Cina. Seguono Stati Uniti e Italia.
Per garantire un minimo strato di sicurezza alle installazione di SQL server è consigliabile :
- chiudere con una regola firewall la porta 1433 nei casi in cui non sia necessario esporre il servizio su rete pubblica
- nel caso in cui SQL server sia esposto all’esterno assicurarsi di schermare la porta 1433 da connessioni provenienti da reti geograficamente poco sicure (Cina, Russia ecc.)
