Segundo um relatório do grupo The Shadowserver Foundation, mais de 3.6 milhões de servidores MySQL estão expostos na Internet.
Em varreduras realizadas na semana passada pelo grupo de pesquisa de segurança cibernética The Shadowserver Foundation, os analistas encontraram 3,6 milhões de servidores MySQL expostos usando a porta padrão, a porta TCP 3306.
Mais de 3.6 milhões de servidores MySQL estão expostos na Internet
Mais de 3,6 milhões de servidores MySQL são expostos publicamente na Internet e respondem a consultas, tornando-os um alvo atraente para hackers e extorsionários.
Desses servidores MySQL acessíveis, 2,3 milhões estão conectados em IPv4, com 1,3 milhão de dispositivos em IPv6.
Embora seja comum que serviços e aplicativos da Web se conectem a bancos de dados remotos, essas instâncias devem ser bloqueadas para que apenas dispositivos autorizados possam se conectar a eles.
Além disso, a exposição do servidor público deve sempre ser acompanhada por políticas rígidas de usuário, alterando a porta de acesso padrão (3306), habilitando o log binário, monitorando todas as consultas de perto e reforçando a criptografia.
O relatório do Shadow Server explica que:
“Embora não verifiquemos o nível de acesso possível ou exposição de bancos de dados específicos, esse tipo de exposição é uma superfície de ataque potencial que deve ser fechada.”
O país com os servidores MySQL mais acessíveis são os Estados Unidos, ultrapassando 1,2 milhão. Outros países com números substanciais são China, Alemanha, Cingapura, Holanda e Polônia.
Os resultados da verificação em detalhes são os seguintes:
- População total exposta no IPv4: 3.957.457
- População total exposta no IPv6: 1.421.010
- Total de respostas de “Saudação do servidor” no IPv4: 2.279.908
- Total de respostas de “Saudação do servidor” no IPv6: 1.343.993
- 67% de todos os serviços MySQL encontrados são acessíveis pela internet
Para aprender como implantar servidores MySQL com segurança e fechar as lacunas de segurança que podem estar escondidas em seus sistemas, o Shadow Server recomenda que os administradores leiam este guia para a versão 5.7 ou este para a versão 8.0.
Os corretores de dados que vendem bancos de dados roubados disseram ao site BleepingComputer que um dos vetores mais comuns para roubo de dados são bancos de dados protegidos incorretamente, que o administrador deve sempre bloquear para evitar acesso remoto não autorizado.
A falha em proteger os servidores de banco de dados MySQL pode resultar em violações catastróficas de dados, ataques destrutivos, demandas de resgate, infecções por trojan de acesso remoto (RAT) ou até mesmo comprometimentos do Cobalt Strike.
Todos esses cenários têm consequências graves para as organizações afetadas, portanto, é crucial aplicar as práticas de segurança apropriadas e impedir que seus dispositivos sejam acessíveis em verificações de rede simples.
