IBM i – Attenzione agli “share” (IFS e Ransomware)

Last Updated on 28 Febbraio 2020 by Roberto De Pedrini

No… non stiamo parlando degli “share” di Auditel (o i Nielsen ratings per gli USA), ma delle directory IFS condivise … potrebbero venire infettate da virus che arrivano dal mondo dei PC e Server di altri sistemi operativi e, addirittura, causare problemi anche al nostro solido IBM i.

Veniamo al caso specifico: un mio cliente mi chiama al telefono preoccupato perché, dopo aver passato il weekend a cercare di arginare un maledetto virus ransomware circolato in azienda, alcune funzionalità di IBM i non funzionano più. Accidenti, come se di virus non ne avessimo già abbastanza in questo periodo!

Mi collego, vedo che le funzioni HTTPGETCLOB, HTTPOSTCLOB ampiamente utilizzate per interfacciarsi ai Web Service dal mondo IBM i, tornano strani errori e il Joblog riporta messaggi di errore durante la chiamata di alcune funzioni Java dalla SYSTOOLS.

Andando più a fondo scopro che neanche Java funziona … arrivo finalmente alla cartelle incriminata “/QIBM/ProdData/OS400/PASE/bin/java” che contiene un numero importate di file con estensione .laChiffre.

• Attimi di panico!
• Il virus (ransomware) è arrivato fino a quella cartella /QIBM/…
  • Ma l’IBM i (anzi, l’AS400 … quanto sei arrabbiato torna ad essere l’AS400 e non l’IBM i … è come quando i figli fanno qualcosa che non devono … sono sempre “i tuoi figli” se ti rivolgi a tua moglie!) non può essere attaccato dai virus.
  • “Non te lo aspettavi eh, e invece, eccolo qua” … avrebbe cantato Vasco Rossi, ma in quel momento cantare era l’ultima cosa che mi veniva in mente.
  • Il maledetto era arrivato fino lì e attaccando le cartelle del JAVA bloccava tutto ciò che si basa proprio su quello, come le funzioni HTTP di SQL e altre cose simpatiche.

Un virus può fare danni anche all’IBM i?

(Le ultime parole famose…)
No, tranquillo!
L’AS400 non è attaccabile da virus !

Andando a fondo troviamo che sull’IBM i sono condivise in lettura e scrittura delle directory IFS, e in particolare, una directory /QIBM che nessuno si ricorda di aver mai condiviso ne utilizzato. Controllo sugli IBM i di qualche altro cliente e trovo due cartelle condivise ovunque, in alcuni casi sono in lettura e in altri anche in lettura/scrittura. Accidenti, deve essere qualche vecchio default di IBM i o qualcuno ha volontariamente attivato anche la scrittura per qualche ragione nel passato … ma è una situazione abbastanza diffusa (almeno tra i miei clienti).

Le due cartelle incriminate sono:

• /QIBM/ProdData/OS400/DirSrv
• /QIBM

La prima è una condivisione per delle funzioni tipo LDAP per IBM i se gestite da tools lato PC … nel 90% dei casi inutile

La seconda, la /QIBM, molto più pericolosa probabilmente è una vecchia reminiscenza del passato , credo personalmente di non averla mai utilizzata, ma è lì condivisa e attaccabile dai maledetti virus e ransomware.

Fortunatamente dal cliente c’erano tutti i backup e le directory incriminate sono state ripristinate dal backup.

In questo caso, per il ransomware “la Chiffre” è stato anche abbastanza semplice perché il maledetto rinomina tutti i file che attacca con estensione “.laChiffre”, quindi da Qshell

find / -name 'laChiffre' -print

Il consiglio:

Vi invito a controllare o far controllare dal vostro sistemista le condivisioni dell’IFS e fare una bella pulizia e, già che ci siete, fate anche una verifica sul salvataggio dell’IFS stesso, spesso dimenticato nelle procedure di backup.

Esistono anche delle soluzioni antivirus e antimalware per IBM i, potrebbe valer la pena prendere qualche informazione in merito.

Nell’immagine qui sotto la /QIBM risulta condivisa in sola lettura … che può andare bene, la DirSrv è invece in lettura/scrittura … se non serve meglio terminare la condivisione … poi ci sono altre directory, quelle delle PTF o delle immagini del sistema operativo … anche queste sarebbe meglio terminarle o metterle solo in lettura e abilitarle quando serve!

--- Roberto De Pedrini Faq400.com