Onderzoekers van de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, hebben meer dan 3,6 miljoen MySQL-servers gevonden die vanaf het internet op tcp-poort 3306 toegankelijk zijn. Het gaat onder andere om bijna 342.000 servers die in Nederland staan.
De onderzoekers keken niet in hoeverre de gevonden databases toegankelijk zijn, maar stellen dat deze mate van blootstelling een potentieel aanvalsoppervlak is dat moet worden gesloten. Het grootste deel van de aangetroffen servers die via ipv4 toegankelijk zijn bevindt zich in de Verenigde Staten (740.000), gevolgd door China (296.000) en Polen (208.000). In Nederland werden 46.500 MySQL-servers met een uniek ipv4-nummer geteld.
Wordt er echter gekeken naar MySQL-servers met een uniek ipv6-nummer, dan staat Nederland met bijna 296.000 servers op tweede plek, met wederom de Verenigde Staten als eerste (461.000). Verder blijkt dat MySQL versie 5.7.33-36 het vaakst op servers met een ipv4-adres wordt aangetroffen, terwijl versie 5.5.5-10.5.12-mariadb-cll-lve op de meeste servers met een ipv6-nummer draait.
"Het is onwaarschijnlijk dat je MySQL-server externe verbindingen van het internet moet toestaan, en dus een mogelijk extern aanvalsoppervlak", aldus de Shadowserver Foundation. De organisatie heeft informatie over de gevonden servers beschikbaar gemaakt voor leden. Bedrijven en andere partijen die voor een toegankelijke MySQL-server worden gewaarschuwd krijgen het advies om verkeer naar de server te filteren en authenticatie op de server te implementeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.