Gli esperti di Shadowserver Foundation hanno scoperto che oltre 3,6 milioni di server MySQL sono pubblicamente esposti su Internet e rispondono alle query sulla porta TCP 3306. I cybercriminali potrebbero sfruttare l’occasione per eseguire vari tipi di attacchi, dal furto di dati all’installazione di ransomware. Oracle fornisce guide dettagliate su come proteggere le versioni 5.7 e 8.0 del suo DBMS.
MySQL: possibile bersaglio di attacchi
Shadowserver Foundation ha effettuato una scansione delle istanze MySQL, scoprendo connessioni aperte sulla porta predefinita TCP 3306 e ricevendo come risposta un Server Greeting (TLS e non). In dettaglio hanno risposto alle query su IPv4 2.279.908 server su un totale di 3.957.457, mentre alle query su IPv6 hanno risposto 1.343.993 server su un totale di 1.421.010. Quindi il 67% dei server MySQL è accessibile da Internet (IPv4 e IPv6).
Gli Stati Uniti sono il paese con più server accessibili su IPv4 (oltre 740.000), seguito da Cina, Polonia e Germania. Gli Stati Uniti sono anche il paese con più server accessibili su IPv6 (quasi 461.000), seguito da Olanda, Singapore e Germania. Gli esperti di Shadowserver Foundation non hanno verificato il livello di accesso possibile, ma è evidente che questa “potenziale superficie di attacco” dovrebbe essere chiusa.
La versione di MySQL più utilizzata è 5.7 (supportata da Oracle fino ad ottobre 2023), ma su molti server sono ancora installate le versioni 5.5 e 5.6, il cui supporto è terminato a dicembre 2018 e febbraio 2021, rispettivamente. Dato che non c’è nessun motivo per consentire l’accesso da remoto, gli amministratori IT dovrebbero filtrare il traffico e implementare l’autenticazione. L’assenza di protezioni può avere gravi conseguenze economiche per un’azienda.