Peringatan: Peneliti Drops phpMyAdmin Zero-Day Mempengaruhi Semua Versi
Seorang peneliti cybersecurity baru-baru ini menerbitkan rincian dan pembuktian konsep untuk kerentanan zero-day yang belum ditambal di phpMyAdmin – salah satu aplikasi paling populer untuk mengelola database MySQL dan MariaDB.
phpMyAdmin adalah alat administrasi sumber terbuka dan gratis untuk MySQL dan MariaDB yang banyak digunakan untuk mengelola database untuk situs web yang dibuat dengan WordPress, Joomla, dan banyak platform manajemen konten lainnya.
Ditemukan oleh peneliti keamanan dan pentester Manuel Garcia Cardenas, kerentanan mengklaim sebagai kesalahan pemalsuan permintaan lintas-lokasi (CSRF), juga dikenal sebagai XSRF, sebuah serangan terkenal yang melibatkan penyerang menipu pengguna yang diautentikasi untuk melakukan tindakan yang tidak diinginkan.
Diidentifikasi sebagai CVE-2019-12922, cacat telah diberi peringkat menengah karena ruang lingkup terbatas yang hanya memungkinkan penyerang untuk menghapus server yang dikonfigurasi di halaman pengaturan panel phpMyAdmin pada server korban.
Untuk dicatat, ini bukan sesuatu yang Anda tidak perlu khawatir karena serangan itu tidak memungkinkan penyerang untuk menghapus basis data atau tabel yang disimpan di server.
Yang perlu dilakukan penyerang hanyalah mengirim URL buatan ke administrator web yang ditargetkan, yang sudah masuk ke panel phpmyAdmin mereka di browser yang sama, mengelabui mereka untuk secara tidak sengaja menghapus server yang dikonfigurasikan hanya dengan mengkliknya.
"Penyerang dapat dengan mudah membuat hyperlink palsu yang berisi permintaan yang ingin dieksekusi atas nama pengguna, dengan cara ini memungkinkan serangan CSRF karena penggunaan metode HTTP yang salah," Cardenas menjelaskan dalam sebuah posting ke surat pengungkapan lengkap. daftar.
Namun, kerentanan itu sepele untuk dieksploitasi karena selain mengetahui URL server yang ditargetkan, penyerang tidak perlu mengetahui informasi lain, seperti nama database.
Bukti Konsep Konsep Eksploitasi
Cacat mempengaruhi versi phpMyAdmin hingga dan termasuk 4.9.0.1, yang merupakan versi terbaru dari perangkat lunak pada saat penulisan.
Celah keamanan juga ada di phpMyAdmin 5.0.0-alpha1, yang dirilis pada Juli 2019, kata Cardenas kepada The Hacker News.
Cardenas menemukan kerentanan ini pada Juni 2019, dan juga bertanggung jawab melaporkannya kepada pengelola proyek.
Namun, setelah pengelola phpMyAdmin gagal menambal kerentanan dalam waktu 90 hari setelah diberitahu, peneliti memutuskan untuk merilis rincian kerentanan dan PoC kepada publik pada 13 September.
Untuk mengatasi kerentanan ini, Cardenas merekomendasikan untuk "menerapkan dalam setiap panggilan validasi variabel token, seperti yang sudah dilakukan dalam permintaan phpMyAdmin lainnya," sebagai solusi.
Sampai pengelola menambal kerentanan, administrator situs web dan penyedia hosting sangat disarankan untuk menghindari mengklik tautan yang mencurigakan.
