phpMyAdmin, perangkat lunak yang terkenal memudahkan mengelola database mysql melalui perantara tampilan website (web gui) ini dilaporkan telah ditemukan celah keamanan yang mengizinkan hacker melakukan operasi database yang berbahaya dengan hanya menipu administrator untuk mengklik sebuah link.
Ditemukan oleh analis keamanan India Ashutosh Barot , celah keamanan ini berupa cross-site request forgery (CSRF) yang metodenya hacker mengirimkan link atau halaman berisi request tersembunyi pada pengguna (korban), dan dieksekusi oleh penggunan tersebut ke website target.
Menurut pengumuman penting yang dirilis oleh phpMyAdmin, “dengan menipu pengguna untuk mengklik URL dibuat, adalah mungkin untuk melakukan operasi database berbahaya: seperti menghapus catatan, menghapus / truncating tabel, dll”
Selain itu, banyak penyedia hosting menggunakan phpMyAdmin untuk menawarkan kepada pelanggan mereka cara mudah untuk mengatur database mereka.
Barot juga telah membuat sebuah video, seperti yang ditunjukkan di atas, menunjukkan bagaimana peretas jarak jauh dapat membuat admin secara tidak sadar menghapus (DROP) keseluruhan tabel dari database hanya dengan menipu mereka ke dalam tautan yang dibuat secara khusus.
“Fitur phpMyAdmin menggunakan permintaan GET dan setelah itu permintaan POST untuk operasi Database seperti DROP TABLE table_name; Permintaan GET harus dilindungi terhadap serangan CSRF. Dalam kasus ini, permintaan POST digunakan yang dikirim melalui URL, yang memungkinkan bagi penyerang untuk mengelabui seorang admin database untuk mengklik sebuah tombol dan melakukan query database tabel drop dari pilihan penyerang. ” kata Baron dalam sebuah catatan blognya
Namun, melakukan serangan ini tidak sesederhana kedengarannya. Untuk menyiapkan URL serangan CSRF, hacker harus mengetahui nama database dan tabel yang ditargetkan.
“Jika pengguna mengeksekusi query pada database dengan mengklik insert, DROP, dll, URL akan berisi nama database dan nama tabel,” kata Barot. “Kerentanan ini dapat mengakibatkan pengungkapan informasi sensitif karena URL disimpan di berbagai tempat seperti riwayat browser, SIEM log, Firewall Logs, ISP Logs, dll.”
Barot melaporkan celah keamanan ini ke pengembang phpMyAdmin, dan telah mengkonfirmasi temuannya sehingga merilis phpMyAdmin 4.7.7 untuk mengatasi masalah ini. Jadi administrator sangat disarankan untuk mengupdate instalasi mereka sesegera mungkin.
