Beveiligings experts waarschuwen voor een nieuwe worm die zich via de populaire open-source database MySQL verspreid. De worm, met de bijnaam MySpool, nestelt zich in een MySQL server die op Windows draait. Vervolgens kan die server gebruikt gaan worden voor Denial-of-Service aanvallen. Volgens schattingen zijn er wereldwijd nu al duizende MySQL servers besmet met de worm. Vermoed wordt dat een hackers-organisatie met deze machines een DDoS aanval wil gaan uitvoeren op een grote site.

Met het huidige aantal servers wat al besmet is zou een grote website als die van Microsoft al platgelegd kunnen worden. En bovendien komen er volgens experts per minuut ruim 100 besmette servers bij.

"De worm gebruikt een nieuwe kwetsbaarheid in MySQL," zo zegt Jacques Erasmus, een beveiligings consultant van Prevx. "Dit is een ‘zero-day’ exploit die machines infecteert via SQL injections. Het richt zich voornamelijk op grote productie servers, niet thuisgebruikers. Het verspreid zich behoorlijk snel. Ik denk dat, aangezien MySQL populair is, het slim is om de database server niet ‘voor’ de webserver te laten draaien. Dat is vrij logisch, maar veel mensen weten dit niet."

Erasmus bedoelt met de laatste zin dat veel gebruikers hun MySQL servers op Internet hebben aangesloten, terwijl dit niet nodig is. Normaal gesproken zou het wenselijk zijn om de MySQL server(s) wel op het LAN aan te sluiten, maar te zorgen dat ze alleen van binnenuit bereikbaar zijn. Dat verklaart ook waarom alleen MySQL servers waarop poort 3306 inkomende verbindingen accepteert, kwetsbaar zijn voor deze worm.

Momenteel is de enige oplossing om aan de worm te ontsnappen het blokkeren van poort 3306. Wanneer MySQL het lek zal verhelpen is nog niet bekend.