Sicherheitsforscher sind weltweit auf 3,6 Millionen exponierte MySQL-Server gestoßen, davon 170.000 in Deutschland, die über das Internet erreichbar sind und dringend abgesichert werden sollten!
Administratoren, die MySQL-Server betreiben, sollten jetzt deren Erreichbarkeit aus dem Internet prüfen und solche Systeme effektiv gegen Fremdzugriffe absichern. Das ist zwar eigentlich selbstverständlich, scheint aber offenbar nicht jedem Verantwortlichen bewusst zu sein, stellten die Sicherheitsforscher von Shadowserver jetzt fest. Ohne jede Absicherung könnten Angreifer auf diese Datenbanksysteme zugreifen.
Wie eine Einladung an die Angreifer
Bei ihren Scans auf das TCP-Port 3306 stießen die Forscher ihrem Bericht nach weltweit auf 3,6 Millionen über das Internet erreichbare MySQL-Server gestoßen. Die Systeme verteilen sich auf 2,3 Millionen IPv4- und 1,3 Millionen IPv6-Adressen.
Mit 740.000 Instanzen steht der Großteil der Server in den USA, aber auch Deutschland ist mit knapp 175.000 Servern dabei. Die Sicherheitsforscher geben dazu an, diese öffentlich erreichbaren Systeme bei ihren Scans nicht auf Sicherheitslücken oder eine effektive Absicherung vor Fremdzugriffen geprüft zu haben. Dabei stellen die Server aber auf jeden Fall eine potenzielle Gefahr dar.
Die unnötige Angriffsfläche beseitigen oder sichern
MySQL-Server müssen in der Regel nicht über das Internet erreichbar sein, was die Datenbanken zu einer unnötige Angriffsfläche macht. Potentielle Angreifer könnten mit ihren Angriffen an den Ports ansetzen, was über Sicherheitslücken in veralteten MySQL-Versionen oder durch zu schwache genutzte Passwörter geschehen kann.
Aus diesem Grund sollten die Admins, wenn es nicht unbedingt notwendig ist, die Internetverbindung einfach kappen.
Wenn der Server aus irgendwelchen Gründen doch öffentlich erreichbar sein muss, dann sollten Filter zum Einsatz kommen, die nur bekannten Clients Zugriff geben und Dritten den Zugriff verweigern. Zusätzlich sollte auch eine starke Authentifizierung mit sicheren Passwörtern – möglichst zusammen mit einer Multi-Faktor-Authentifizierung (MFA) -die Eindringlinge abwehren.
