English

◀◁ 뒤로 취약점ID 25018 위험도 40 포트 1434 프로토콜 UDP 분류 DB 상세설명 해당 시스템 상의 MS SQL 서버는 사파이어 웜에 감염될 수 있다. 2003년 1월 24일 금요일 오후 전세계적으로 광범위한 네트워크에 걸쳐 아주 빠르게 확산된 새로운 SQL 웜이 발견되었다. 이 웜은 eEye 사에 의해 "Sapphire Worm" 이라는 이름이 붙었다. 웜은 마이크로소프트 SQL 서버 2000에 있는 결함을 도용하는 버퍼 오버플로우를 이용하여 확산하였다. MS SQL 2000 서버의 결함은 이미 Next Generation Security Software 사에 의해 2002년 7월에 발견되었다. 버퍼 오버플로우는 SQL 서버가 마이크로소프트 SQL Monitor 포트로 보낸 데이터를 적절하게 처리하지 못하기 때문에 존재한다. 공격자들은 이 취약점을 도용하여 마이크로소프트 SQL 서버 2000이 SYSTEM 권한으로 작동하기 때문에 SYSTEM 권한으로 자신들의 코드를 수행시킬 수 있다. 웜은 자신의 데이터(payload)를 가지고 감염시키고자 하는 가상의 무작위 IP 주소들을 생성함으로써 활동한다. 웜의 데이터에는 더 이상의 (백도어 등과 같은) 악의적인 내용을 포함하고 있지는 않다. 어쨌든 웜의 성격과 시스템들을 재 감염시키려는 속도때문에 감염된 네트워크에 대한 서비스거부 공격을 일으킬 수 있다. 웜은 디스크에 쓰여지는 형태가 아닌 메모리 상주형이다. * 알림: 이 점검항목은 취약한 시스템들을 식별하는 데에 있어 서버들을 크래쉬 시키지 않는 비공격성으로, 희생자 시스템에 어떤 정상적인 데이터를 얻어가지 못하게 하는 웜의 성격 때문에 이미 감염된 시스템들은 인식하지 못한다. 따라서 이미 감염된 시스템들을 알아내기 위해서는 스니퍼(도청 프로그램)와 IDS들을 이용할 것을 제안한다. * 영향을 미치는 플랫폼: Microsoft SQL Server 2000 pre SP3 Microsoft Desktop Engine (MSDE) 2000 * 관련 사이트: http://securityresponse.symantec.com/avcenter/venc/data/w32.sqlexp.worm.html http://www.cisco.com/warp/public/707/cisco-sn-20030125-worm.shtml http://www.iss.net/security_center/static/10031.php http://www.cert.org/advisories/CA-2003-04.html 해결책 웜은 디스크에 씌여지는 형태가 아닌 메모리 상주형이기 때문에 바이러스와 같은 방식으로 찾아낼 수는 없다. 만약 호스트가 감염되었다면 다음과 같은 절차를 수행함으로써 웜을 제거할 수 있다. 또한 최신 SQL 서버용 패치가 적용되지 않았다면 2번을 참고하여 패치를 적용하여야 한다. 1. MS SQL 서버의 가동을 중지시킨다. 2. 시스템으로부터 마이크로소프트 SQL 버퍼 오버플로우 취약점을 제거한다. 마이크로소프트는 이미 이 취약점에 대한 Fix를 포함하는 최신 SQL용 서비스 팩(Service Pack 3)을 릴리즈 했었다. Standalone patch: http://technet.microsoft.com/en-us/security/bulletin/ms02-061 SQL 2000 Service Pack 3 (누적 패치): Microsoft사는 더 이상 SQL 2000을 지원하지 않는다. 벤더에 문의하여 서비스팩 3 이상으로 업그레이드 하거나 최신 버전의 SQL Server로 업그레이드 해야 한다. 3. MS SQL 서버를 재가동한다. -- 그리고 -- 모든 게이트에서 SQL 서비스 포트들을 즉시 차단할 것을 권고한다. 웜은 새로운 시스템에 자신을 감염시키기 위하여 UDP 포트 1434 (SQL Monitor 포트) 번만을 사용한다. 관련 URL CVE-2002-0649,CVE-2002-0650 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)