Des chercheurs en cybersécurité ont récemment découvert qu'il y avait pas moins de 3,6 millions de serveurs MySQL exposés sur Internet et accessibles dans le monde sur le port 3306/TCP. Plus précisément, ils ont trouvé environ 2,3 millions de serveurs MySQL connectés sur IPv4 et environ 1,3 million sur IPv6 (même s'ils estiment que la plupart sont associés à un seul système autonome). Les chercheurs n'ont pas vérifié le niveau d'accès possible ou l'exposition de bases de données spécifiques, mais ce type d'exposition représente une surface d'attaque potentielle pour les cybercriminels.Bien qu'il soit courant pour les services et les applications Web de se connecter à des bases de données distantes, ces instances doivent être verrouillées afin que seuls les dispositifs autorisés puissent s'y connecter. En plus de cela, les experts expliquent que l'exposition des serveurs publics devrait toujours s'accompagner de politiques d'utilisation strictes, de la modification du port d'accès par défaut (3306), de l'activation de la journalisation binaire, de la surveillance étroite de toutes les requêtes et de l'application du chiffrement. Cela permet aux organisations de sécuriser leurs données et de réduire les risques de violation de données.
Cependant, dans des analyses effectuées la semaine dernière par le groupe de recherche en cybersécurité The Shadowserver Foundation, les analystes ont trouvé 3,6 millions de serveurs MySQL exposés utilisant le port par défaut, le port TCP 3306. Le pays ayant le plus de serveurs MySQL accessibles est les États-Unis, dépassant les 1,2 million d'instances MySQL exposées. Les autres pays ayant un nombre important de serveurs sont la Chine, l'Allemagne, Singapour, les Pays-Bas et la Pologne. Dans le cadre de son analyse, Shadowserver Foundation a effectué un scan en émettant une demande de connexion MySQL sur le port 3306/TCP.
Il a ensuite collecté les réponses du serveur qui répondent par un message d'accueil du serveur MySQL. Cela inclut les réponses TLS et non TLS. Le groupe a déclaré qu'il n'a effectué aucune vérification intrusive pour découvrir le niveau d'accès possible aux bases de données. Outre l'ensemble de l'espace IPv4, le groupe a analysé également l'espace IPv6 sur la base de listes de résultats collectées auprès de diverses sources. Selon le rapport des chercheurs, les instances de serveurs MySQL IPv4 les plus accessibles par pays sont les suivants : États-Unis (740,1K), Chine (296,3K), Pologne (207,8K), Allemagne (174,9K) et France (73K).
En outre, les instances de serveurs MySQL IPv6 les plus accessibles par pays se présentent comme suit : États-Unis (460,8K), Pays-Bas (296,3K), Singapour (218,2K) et Allemagne (173,7K). Les résultats détaillés de l'analyse sont les suivants :
- population totale exposée sur IPv4 : 3 957 457 ;
- population totale exposée sur IPv6 : 1 421 010 ;
- total des réponses "Server Greeting" sur IPv4 : 2 279 908 ;
- total des réponses "Server Greeting" sur IPv6 : 1 343 993 ;
- globalement, 67 % de tous les services MySQL trouvés sont accessibles depuis Internet (IPv4 et IPv6).
Selon les experts en cybersécurité de Shadowserver Foundation, il est peu probable que vous ayez besoin que votre serveur MySQL autorise des connexions externes depuis Internet (et donc une éventuelle surface d'attaque externe). « Si vous recevez un rapport sur votre réseau/constitution, prenez des mesures pour filtrer le trafic vers votre instance MySQL et assurez-vous de mettre en place une authentification sur le serveur », recommandent-ils. Quant aux courtiers en données qui vendent des bases de données volées, ils ont déclaré que l'un des vecteurs les plus courants de vol de données est constitué par des bases de données mal sécurisées.
Ainsi, les administrateurs devraient toujours verrouiller les instances de bases de données afin d'empêcher tout accès à distance non autorisé. L'absence de sécurisation des serveurs de bases de données MySQL peut entraîner des violations de données catastrophiques, des attaques destructrices, des demandes de rançon (à la suite d'attaques de ransomware), des infections par des chevaux de Troie d'accès à distance (RAT), voire des compromissions par Cobalt Strike.
D'après les chercheurs de Shadowserver Foundation, ces scénarios ont tous de graves conséquences pour les organisations touchées. Il est donc crucial d'appliquer les pratiques de sécurité appropriées et de faire en sorte que vos dispositifs ne soient pas accessibles lors de simples analyses de réseau.
Source : Shadowserver Foundation
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous du grand nombre d'instances de bases de données exposées à travers le monde ?Voir aussi
Deuxième vulnérabilité Log4j découverte : un correctif est déjà publié, le correctif de la première vulnérabilité étant « incomplet » Faille de sécurité : MySQL peut donner les privilèges root à des hackers et il n'y a toujours pas de correctif MySQL est une « base de données plutôt médiocre », déclare un ingénieur Oracle en partance, PostgreSQL est une meilleure option pour un SGBD open source, selon lui PlanetScale, un outil qui permet de déployer une base de données cloud, entièrement gérée avec MySQL MySQL 8.0 
Envoyé par Shepard
J'en ris personnellement 
, niveau sécu c'est franchement lamentable 