Apakah aman untuk mengekspos mysql ke internet?

Selamat datang di seri blog Deep Dive Protokol NICER. Ketika kami mulai meneliti apa yang ada di internet pada bulan Januari, kami tidak tahu bahwa kami akan mendapatkan laporan penelitian setebal 137 halaman yang besar dan kuat. Panjangnya hal semacam itu mungkin menunda orang-orang yang mungkin belajar satu atau dua hal tentang sifat keterpaparan internet, jadi kami pikir, mengapa tidak membagi semua studi protokol ke dalam laporan mereka sendiri?

Jadi, inilah kami. Berikut ini diambil langsung dari National / Industry / Cloud Exposure Report (NICER) kami, jadi jika Anda tidak ingin menunggu untuk angsuran berikutnya, Anda dapat menipu dan membaca terlebih dahulu

[Penelitian] Baca laporan lengkap NICER hari ini

TLDR

• APA ITU. Sistem manajemen basis data relasional open source yang sangat populer dengan sejarah yang terfragmentasi
• BERAPA BANYAK. 2.826.541 node ditemukan. 2.817.028 (99. 66%) memiliki sidik jari Recog (total 4 keluarga vendor)
• KERENTANAN. Um, lebih dari 1.000 (O_O) dengan skor CVSS di semua tempat
• NASIHAT. Gunakan. Tapi, jangan di internet, tolong, dan tetap ditambal. ALTERNATIF. PostgreSQL, Microsoft SQL Server, Oracle, dan sejumlah RDBMS lainnya

Kita bisa menulis seluruh makalah tentang sejarah MySQL yang terfragmentasi. Itu dimulai sebagai open source, basis kode terpadu dan — sejak diakuisisi oleh Oracle — memiliki varian seperti MariaDB, Percona, Google Cloud SQL, dan beberapa lainnya. Mereka semua "berbicara" MySQL, tetapi versi bekerja sedikit berbeda untuk masing-masing. Ketika kami melakukan slice and dice oleh vendor, kami akan fokus pada varian resmi Oracle MySQL dan MariaDB, karena keduanya terdiri dari 98. 8% dari node yang ditemukan

Detail penemuan

Polandia nyaris melewati Jerman untuk jatuh ke posisi ketiga karena penyedia hosting Home. pl (terima kasih kepada Home. afinitas pl yang disebutkan di atas untuk, yah, konfigurasi default yang kurang bagus seperti yang terdeteksi dengan studi FTP kami). Amerika Serikat menyumbang 34% dari semua MySQL yang terekspos, dengan China berada jauh 15%

Alibaba memiliki keduanya gambar dengan Oracle MySQL dan MariaDB, tetapi juga memiliki penawaran rasa MySQL sendiri dalam layanan terkelola AsparaDB-nya. Amazon memiliki situasi serupa, dan OVH juga menargetkan penawaran MySQL. Sungguh aneh melihat mereka berada di 3 teratas paparan cloud, karena setiap penyedia melakukan pekerjaan yang cukup baik dalam menawarkan default yang aman untuk gambar dan layanan yang mereka berikan dan memiliki dokumentasi yang baik tentang mengamankan MySQL. Ini berarti orang-orang berusaha keras untuk membuat MySQL muncul di internet atau benar-benar mengacaukan konfigurasinya

Karena kami memilih untuk fokus pada penyedia cloud dan bukan penyedia "hosting" atau perusahaan co-location untuk sebagian besar laporan ini, kami perlu menambahkan beberapa warna ke bagian ini, karena perusahaan co-location, Unified Layer, menyumbang 145.967 kasus terbuka (mengalahkan

Ada 17.876 sistem otonom yang mengekspos instans MySQL, dengan paparan rata-rata tiga server dan rata-rata 156 server, jadi ada banyak paparan yang menunjuk jari untuk berkeliling

Informasi eksposur

Ada 1.006 kombinasi vendor+versi dalam korpus, dan itu jika kami mengagregasi vendor ke dalam bucket Oracle, MariaDB, Google, Percona, dan “Lainnya”. Dengan lebih dari 2 juta contoh di internet, kami mungkin memiliki cukup korpus yang disurvei sehingga aman untuk mengatakan bahwa tidak ada yang mengelola MySQL dengan baik sendiri. Ya, kami sedang melihat Anda, sekarang. Silakan, ketik `mysqld --version` di command prompt laptop Anda atau server yang sering Anda gunakan untuk berinteraksi  (Anda tahu Anda menjalankannya di suatu tempat). Salah satu penulis kami—pria gila dengan perisai itu—melakukannya dan bahkan dia berada dua titik tempel di belakang rilis MariaDB terbaru

Kami mengerti. Manajemen tambalan sulit. Tetapi tidak menambal instans laptop lokal yang hanya diekspos ke `localhost` dan tidak menambal instans MySQL yang terhubung langsung ke internet adalah dua situasi yang sangat berbeda

Namun, Anda mungkin ingin tahu seperti apa distribusi versi itu. Kami harus sedikit kreatif untuk yang satu ini (mengingat penyebarannya yang sangat besar), jadi kami telah membuat awan kata yang ditumpangkan pada logo MariaDB, karena segelnya luar biasa

Versi 5. 7. 26 dirilis pada 25 April 2019 (Versi Oracle, yang sebagian besar berasal dari semua yang lain)

Versi 5. 7. 26 memiliki 13 kerentanan sedang, sedangkan 5. 7. 30 dirilis pada 27 April 2020, sehingga relatif terkini hingga penulisan laporan ini. Oracle memiliki cabang resmi untuk 8. 0. x (yang benar-benar 5. 8. x), 5. 7. x, dan 5. 6. x karena perbedaan teknis yang cukup besar antara masing-masing versi tersebut. Agar tetap membingungkan, MariaDB melompat dari 5. 6. x ke 10. 0. x, dengan 10 yang paling menonjol. x rilis di korpus sebagai 10. 2. 31, yang dirilis pada Januari 2020 dan telah digantikan oleh 10. 2. 32 (dirilis pada bulan Mei). MariaDB sendiri mempertahankan versi 10. 0. x hingga 10. 4. x

Jika Anda mengalami kesulitan mengikuti paragraf itu, Anda sekarang memiliki pemahaman yang lebih sempurna tentang betapa sulitnya manajemen tambalan basis data, karena itu semua adalah labirin berliku-liku dari angka multi-desimal yang serupa tetapi berbeda. Jadi, berhentilah menempatkan MySQL di internet

Pandangan penyerang

Heisenberg tidak memiliki honeypots MySQL, dan sifat upaya koneksi MySQL membuatnya sulit untuk mengetahui koneksi palsu dari serangan yang diarahkan atau upaya yang disengaja (meskipun, salah konfigurasi) untuk berkomunikasi secara sah dengan sesuatu yang menurut seseorang dimiliki. Ini berarti bagan apa pun yang dapat kami tunjukkan di sini hanya akan menghasilkan lebih banyak pertanyaan daripada jawaban

Cukup dikatakan, Heisenberg umumnya melihat 10.000–30.000 upaya koneksi TCP setiap hari pada TCP/3306 dari median sekitar 250 IPv4 sumber berbeda. Beberapa di antaranya (setiap hari) berasal dari peneliti lain yang memindai MySQL, dan antara 5% dan 15% adalah klien yang salah konfigurasi, karena node honeypot kami sebagian besar berada di ruang IP cloud

Kami dapat memberi tahu Anda bahwa pada tahun 2019, penyerang meluncurkan kampanye ransomware terhadap server MySQL yang terhubung ke internet dan bahwa ada miliaran kredensial di luar sana bagi pelaku jahat untuk mencoba melawan 2+ juta server MySQL yang kami temukan, jadi Anda benar-benar harus berpikir dua kali

Saran kami

Tim keamanan TI dan TI tidak boleh menghosting MySQL pada alamat IP publik dan harus benar-benar mempertimbangkan untuk memilih salah satu varian + versi vendor MySQL dan menjadikannya standar di seluruh perusahaan Anda (dan menjaganya agar tetap ditambal). MySQL sering dibundel dengan "peralatan," dan Anda harus bekerja dengan tim pengadaan Anda untuk memastikan vendor mengkomunikasikan versi mana yang dibundel dengan solusi mereka dan juga bahwa mereka menyediakan pembaruan tepat waktu saat rilis MySQL baru diumumkan

Penyedia cloud harus terus menawarkan penawaran aman dan terkelola yang kompatibel dengan MySQL untuk membantu mengurangi ancaman yang terkait dengan pelanggan yang menghosting infrastruktur MySQL mereka sendiri. Gambar disk yang dikelola vendor dengan distribusi MySQL harus segera diperbarui ketika ada rilis baru dan vendor harus berkomunikasi dengan pelanggan untuk memberi tahu mereka bahwa mereka perlu memperbarui versi lama mereka

Badan keamanan siber pemerintah harus memberikan panduan yang berarti tentang cara menghosting MySQL dengan aman dan memberikan pemberitahuan tepat waktu saat kampanye penyerang baru ditemukan. Selain itu, upaya harus dilakukan untuk bekerja sama dengan penyedia cloud, penyedia hosting, dan ISP untuk mencegah MySQL terhubung ke internet publik

Bisakah MySQL diretas?

Apakah koneksi MySQL aman?

Bagaimana cara mengekspos server MySQL saya ke internet?

Apakah aman untuk membuka 3306?