Des chercheurs en cyberscurit ont rcemment dcouvert qu’il y avait pas moins de 3,6 millions de serveurs MySQL exposs sur Internet et accessibles dans le monde sur le port 3306/TCP. Plus prcisment, ils ont trouv environ 2,3 millions de serveurs MySQL connects sur IPv4 et environ 1,3 million sur IPv6 (mme s’ils estiment que la plupart sont associs un seul systme autonome). Les chercheurs n’ont pas vrifi le niveau d’accs possible ou l’exposition de bases de donnes spcifiques, mais ce type d’exposition reprsente une surface d’attaque potentielle pour les cybercriminels.
Bien qu’il soit courant pour les services et les applications Web de se connecter des bases de donnes distantes, ces instances doivent tre verrouilles afin que seuls les dispositifs autoriss puissent s’y connecter. En plus de cela, les experts expliquent que l’exposition des serveurs publics devrait toujours s’accompagner de politiques d’utilisation strictes, de la modification du port d’accs par dfaut (3306), de l’activation de la journalisation binaire, de la surveillance troite de toutes les requtes et de l’application du chiffrement. Cela permet aux organisations de scuriser leurs donnes et de rduire les risques de violation de donnes.
Cependant, dans des analyses effectues la semaine dernire par le groupe de recherche en cyberscurit The Shadowserver Foundation, les analystes ont trouv 3,6 millions de serveurs MySQL exposs utilisant le port par dfaut, le port TCP 3306. Le pays ayant le plus de serveurs MySQL accessibles est les tats-Unis, dpassant les 1,2 million d’instances MySQL exposes. Les autres pays ayant un nombre important de serveurs sont la Chine, l’Allemagne, Singapour, les Pays-Bas et la Pologne. Dans le cadre de son analyse, Shadowserver Foundation a effectu un scan en mettant une demande de connexion MySQL sur le port 3306/TCP.
Il a ensuite collect les rponses du serveur qui rpondent par un message d’accueil du serveur MySQL. Cela inclut les rponses TLS et non TLS. Le groupe a dclar qu’il n’a effectu aucune vrification intrusive pour dcouvrir le niveau d’accs possible aux bases de donnes. Outre l’ensemble de l’espace IPv4, le groupe a analys galement l’espace IPv6 sur la base de listes de rsultats collectes auprs de diverses sources. Selon le rapport des chercheurs, les instances de serveurs MySQL IPv4 les plus accessibles par pays sont les suivants : tats-Unis (740,1K), Chine (296,3K), Pologne (207,8K) et Allemagne (174,9K).
En outre, les instances de serveurs MySQL IPv6 les plus accessibles par pays se prsentent comme suit : tats-Unis (460,8K), Pays-Bas (296,3K), Singapour (218,2K) et Allemagne (173,7K). Les rsultats dtaills de l’analyse sont les suivants :
- population totale expose sur IPv4 : 3 957 457 ;
- population totale expose sur IPv6 : 1 421 010 ;
- total des rponses « Server Greeting » sur IPv4 : 2 279 908 ;
- total des rponses « Server Greeting » sur IPv6 : 1 343 993 ;
- globalement, 67 % de tous les services MySQL trouvs sont accessibles depuis Internet (IPv4 et IPv6).
Selon les experts en cyberscurit de Shadowserver Foundation, il est peu probable que vous ayez besoin que votre serveur MySQL autorise des connexions externes depuis Internet (et donc une ventuelle surface d’attaque externe). Si vous recevez un rapport sur votre rseau/constitution, prenez des mesures pour filtrer le trafic vers votre instance MySQL et assurez-vous de mettre en place une authentification sur le serveur , recommandent-ils. Quant aux courtiers en donnes qui vendent des bases de donnes voles, ils ont dclar que l’un des vecteurs les plus courants de vol de donnes est constitu par des bases de donnes mal scurises.
Ainsi, les administrateurs devraient toujours verrouiller les instances de bases de donnes afin d’empcher tout accs distance non autoris. L’absence de scurisation des serveurs de bases de donnes MySQL peut entraner des violations de donnes catastrophiques, des attaques destructrices, des demandes de ranon ( la suite d’attaques de ransomware), des infections par des chevaux de Troie d’accs distance (RAT), voire des compromissions par Cobalt Strike.
D’aprs les chercheurs de Shadowserver Foundation, ces scnarios ont tous de graves consquences pour les organisations touches. Il est donc crucial d’appliquer les pratiques de scurit appropries et de faire en sorte que vos dispositifs ne soient pas accessibles lors de simples analyses de rseau.
Source : Shadowserver Foundation
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du grand nombre d’instances de bases de donnes exposes travers le monde ?
Voir aussi