Furto di dati, attacchi ransomware e compromissioni di rete: sono oltre 3,6 milioni i server MySQL pubblicamente accessibili

Sono oltre 3,6 milioni i server MySQL ad essere pubblicamente esposti su Internet e che rispondono ad interazioni, diventando così un appetitoso ed appetibile bersaglio per hacker e aggressori informatici in genere. 2,3 milioni di essi sono connessi su IPv4, mentre 1,3 milioni sono su IPv6.

Nel panorama attuale della rete è normale e frequente che servizi Web ed applicazioni eseguano connessioni a database remoti, ma tali istanze dovrebbero esser in qualche modo configurate in maniera tale che solamente i dispositivi autorizzati possano connettersi ad esse.

A ciò si aggiunge il fatto che l'esposizione pubblica di un server dovrebbe essere orchestrata da una serie di politiche piuttosto rigorose, come ad esempio la modifica della porta di accesso predefinita (3306, nel caso di MySQL), il monitoraggio delle query e l'applicazione di misure crittografiche.

Il gruppo The Shadowserver Foundation ha però eseguito una serie di scansioni la scorsa settimana rilevando che i 3,6 milioni di server MySQL esposti fanno uso della porta TCP 3306 predefinita. "Anche se non controlliamo il livello di accesso possibile, o l'esposizione di database specifici, questo tipo di esposizione è una superficie di attacco potenziale che dovrebbe essere chiusa" hanno spiegato gli analisti.

La mancata protezione dei server database MySQL può essere la causa di gravi violazioni di dati, attacchi distruttivi, attacchi ransomware, infezioni da trojan, compromissione con strumenti RAT e compromissioni con stumenti sofisticati come Cobalt Strike. Non solo: una delle strade più comuni per il furto di dati e credenziali di accesso sono proprio i database protetti in maniera impropria o non protetti, che l'amministratore dovrebbe opportunamente configurare per impedire l'accesso remoto non autorizzato.