6.06.20222 min

Maciej OlanickiRedakcja Bulldogjob

Nawet 2/3 serwerów MySQL łatwym celem dla hakerów. Polska w czołówce

Badania nad bezpieczeństwem MySQL dały zatrważające wyniki. Zatrważające zwłaszcza dla Polaków.

Nawet 2/3 serwerów MySQL łatwym celem dla hakerów. Polska w czołówce

Mogłoby się wydawać, że po uruchomieniu serwera czy jakiejś usługi systemu operacyjnego jednym z pierwszych obowiązków administratora powinno być wprowadzenie takiej polityki, aby pozostawić otwarte tylko te porty, które są niezbędne w danym wdrożeniu. Tymczasem praktyka pokazuje, że podchodzi się do tej kwestii nad wyraz niefrasobliwie. 


Problem otwartych portów

W kwestii niezabezpieczonych portów i protokołów szczególnie doświadczyła nas pandemia. Gdy coraz większa liczba firm i instytucji decydowała się na przejście na system pracy zdalnej lub hybrydowej, atakujący zauważyli (i oczywiście błyskawicznie wykorzystali) słaby punkt w postaci niezabezpieczonych portów zdalnego dostępu, np. windowsowego RCP. 

Problem jednak nie jest ściśle związany z pandemią i był obecny już znacznie wcześniej.  Przykłady można mnożyć i wystarczy skorzystać z silnika Shodan, by zdać sobie sprawę, jak wiele maszyn nasłuchuje na otwartych portach, zupełnie jakby tylko czekały na niechciany dostęp.

Nie lepiej sprawy mają się w przypadku serwerów baz danych, czego dowodzą badania przeprowadzone przez fundację Shadow Server. Jej członkowie zdecydowali się przeskanować fragment globalnej sieci pod kątem odpowiedzi na żądanie nawiązania połączenia z serwerami MySQL na porcie 3306/TCP.

Wyniki były dla badaczy zatrważające – na żądanie przesłane via IPv4 odpowiedziało 2,3 mln serwerów, zaś w przypadku IPv6 – 1,3 mln.


Polskie serwery MySQL jak otwarta księga

Być może najgorsze dla nas w tym wszystkim jest to, że w ścisłej czołówce pod względem liczby niezabezpieczonych serwerów jest… Polska. Za pośrednictwem IPv4 możliwy był dostęp do ponad 207 tys. serwerów MySQL.

Plasuje nas to na trzecim miejscu, zaś wyprzedzić daliśmy się wyłącznie Stanom Zjednoczonym (740 tys.) i Chinom (niecałe 300 tys.). A przecież działa tu jeszcze efekt skali – trudno zakładać, że w Polsce stoi porównywalna liczba serwerów MySQL, co w Kraju Środka czy za oceanem.

Globalne dane również trudno uznać za napawające optymizmem. Na wskazanym porcie 3306 nasłuchuje aż 67% ze wszystkich przeskanowanych serwerów

Rzecz jasna odpowiedź na żądanie nie oznacza od razu, że może dojść do faktycznego wycieku, niemniej stanowi to powierzchnię ataku i może być wykorzystywane do przeprowadzenia bardziej zawoalowanych scenariuszy na dalszych etapach kampanii. Co ważne, powierzchnię, którą bardzo łatwo wyeliminować.

Pełna treść raportu z badań przeprowadzonych przez Shadow Server jest dostępna tutaj.

<p>Loading...</p>