Il database open source più famoso al mondo è sotto attacco da parte di un bot. Il worm UDF, così chiamato perché utilizza una funzione definita dall'utente che consente agli sviluppatori di creare le proprie funzioni personalizzate, si sta diffondendo rapidamente su istanze di MySQL in esecuzione su Windows.
Il worm sfrutta le vulnerabilità della sicurezza su Windows per propagarsi. MySQL afferma quindi che è improbabile che il worm appaia su sistemi che eseguono Unix o Linux.
Secondo il SANS Internet Storm Center, che monitora le epidemie di malware, il bot ha infettato complessivamente diverse migliaia di sistemi. Il bot sembra essere una variante di "Wootbot" e include un motore DDoS (Distributed Denial of Service), scanner, comandi per estrarre informazioni come statistiche di sistema e chiavi di registrazione del software da file infetti sistemi.
Una volta trovato un altro server MySQL su Internet, tenterà di autenticarsi come "utente root" attraverso la forza bruta tramite un elenco preimpostato di password. Un server mal configurato con poca protezione firewall e una password ovvia o nessuna verrà compromesso e infettato dal codice UDF. Quella macchina tenterà quindi di accedere a un server IRC per ricevere istruzioni per un'ulteriore propagazione.
La preoccupazione è che i server IRC utilizzati per impartire istruzioni vengono sommersi e molti server non hanno ricevuto comandi, poiché non sono ancora in grado di accedere. La popolarità diffusa di MySQL significa che migliaia di macchine compromesse potrebbero essere in attesa di diffondere il bot.
MySQL e SANS ISC sottolineano che questa non è una debolezza di MySQL ma di un account root debole. Gli amministratori di sistema dovrebbero verificare se i loro server stanno effettuando la scansione per individuare server IRC e dovrebbero rafforzare le proprie password se sospettano che possano essere facilmente compromesse.
