MySQL adalah sebuah sistem manajemen basis data relasional open-source yang banyak digunakan oleh berbagai aplikasi web dan server. Namun, MySQL juga memiliki kerentanan keamanan yang dapat dimanfaatkan oleh para peretas untuk melakukan serangan-serangan jahat, salah satunya adalah serangan DDoS (Distributed Denial-of-Service).
.
Serangan DDoS adalah sebuah serangan yang bertujuan untuk mengganggu atau menghentikan layanan dari sebuah server atau situs web dengan mengirimkan lalu lintas data yang berlebihan dan tidak sah. Serangan DDoS dapat menyebabkan kerugian besar bagi korban, baik dari segi finansial, operasional, maupun reputasi. Serangan DDoS juga dapat mengancam keselamatan dan keamanan publik, jika menargetkan sektor-sektor kritis, seperti kesehatan, energi, atau transportasi.
Serangan DDoS adalah sebuah serangan yang bertujuan untuk mengganggu atau menghentikan layanan dari sebuah server atau situs web dengan mengirimkan lalu lintas data yang berlebihan dan tidak sah. Serangan DDoS dapat menyebabkan kerugian besar bagi korban, baik dari segi finansial, operasional, maupun reputasi. Serangan DDoS juga dapat mengancam keselamatan dan keamanan publik, jika menargetkan sektor-sektor kritis, seperti kesehatan, energi, atau transportasi.
Salah satu kelompok peretas yang diketahui telah melakukan serangan DDoS terhadap server-server MySQL adalah DDoSTF, yang merupakan sebuah layanan DDoS berbayar. Layanan ini menawarkan jasa untuk melancarkan serangan DDoS terhadap target yang diinginkan oleh pelanggan, dengan harga yang bervariasi tergantung pada durasi, intensitas, dan jenis serangan. Layanan ini juga menyediakan antarmuka web untuk memantau dan mengelola serangan-serangan yang sedang berlangsung.
Menurut laporan dari perusahaan keamanan siber BleepingComputer, DDoSTF telah mengeksploitasi sebuah kerentanan di MySQL, yang diberi kode CVE-2023-46604. Kerentanan ini memungkinkan seorang penyerang jarak jauh dengan akses jaringan ke broker untuk menjalankan perintah shell sembarang dengan memanipulasi jenis kelas yang diserialisasi di protokol OpenWire untuk menyebabkan broker menginstansiasi kelas apa pun di classpath. Kerentanan ini memiliki skor CVSS 10.0, yang menunjukkan tingkat keparahan maksimum. Kerentanan ini telah diperbaiki di versi MySQL 5.15.16, 5.16.7, 5.17.6, atau 5.18.3 yang dirilis pada akhir Oktober 2023.
Namun, tidak lama setelah pengumuman tersebut, kode bukti konsep (PoC) dan detail teknis tambahan telah dibuat tersedia secara publik, yang memudahkan para peretas untuk mengeksploitasi kerentanan ini. Salah satu kelompok peretas yang diketahui telah mengeksploitasi kerentanan ini adalah HelloKitty, yang merupakan keluarga ransomware yang kode sumbernya bocor di sebuah forum pada awal Oktober.
Menurut laporan dari perusahaan keamanan siber Radware, HelloKitty telah berhasil mengeksploitasi kerentanan MySQL di dua lingkungan pelanggan yang berbeda, dan mencoba untuk menyebarkan biner ransomware di sistem-sistem target. Dalam kedua kasus, peretas mencoba untuk memuat biner jarak jauh bernama M2.png dan M4.png menggunakan Windows Installer (msiexec). Kedua file MSI tersebut berisi sebuah eksekutabel .NET 32-bit bernama dllloader yang kemudian memuat sebuah payload yang dikodekan Base64 bernama EncDLL yang berfungsi seperti ransomware, mencari dan menghentikan sejumlah proses tertentu sebelum memulai proses enkripsi dan menambahkan ekstensi “.locked” pada file-file yang terenkripsi.
Serangan HelloKitty ini menunjukkan betapa berbahayanya kerentanan MySQL bagi pengguna layanan tersebut, terutama yang menggunakan versi yang rentan. Data yang terenkripsi oleh ransomware dapat menjadi tidak dapat diakses atau dipulihkan, kecuali korban membayar tebusan atau memiliki cadangan yang aman. Selain itu, data yang terenkripsi juga dapat dibocorkan ke internet oleh peretas, jika korban tidak memenuhi tuntutan mereka.
Oleh karena itu, pengguna MySQL disarankan untuk segera memperbarui ke versi yang telah diperbaiki dan memindai jaringan mereka untuk indikator kompromi. Selain itu, pengguna MySQL juga harus meningkatkan kesadaran dan kewaspadaan mereka terhadap ancaman ransomware, dan mengambil langkah-langkah pencegahan dan mitigasi yang sesuai, seperti:
- Menggunakan kredensial dan enkripsi yang kuat. Anda perlu menggunakan kredensial dan enkripsi yang kuat untuk melindungi akses dan komunikasi Anda dengan server MySQL. Anda juga perlu mengelola dan menyimpan kredensial Anda dengan aman, dan tidak mengunggahnya ke tempat-tempat yang tidak terpercaya atau terbuka.
- Menggunakan firewall dan antivirus yang terbaru. Anda perlu menggunakan firewall dan antivirus yang terbaru untuk melindungi sistem Anda dari serangan jaringan atau malware. Anda juga perlu memperbarui dan mengkonfigurasi firewall dan antivirus Anda dengan benar, sesuai dengan standar dan praktik keamanan yang berlaku.
- Membuat cadangan data secara teratur. Anda perlu membuat cadangan data Anda secara teratur ke media yang aman dan terpisah dari sistem Anda. Anda juga perlu memeriksa dan memverifikasi cadangan Anda secara berkala, untuk memastikan bahwa data Anda dapat dipulihkan jika terjadi serangan ransomware.
Serangan ransomware baru mengincar kerentanan MySQL adalah sebuah peringatan bagi pengguna layanan sistem manajemen basis data relasional open-source tersebut. Anda perlu memperhatikan dan mengatasi kerentanan tersebut, dan melindungi data Anda dengan cara-cara yang tepat. Dengan demikian, Anda dapat menghindari kerugian dan dampak negatif akibat serangan ransomware.
