MYSQL

Millioner av MySQL-servere er eksponert på internett

Mange har IPv6-adressse, men ytterst få i Norge.

Svært mange eksponerer databasesystemet MySQL og avleggeren MariaDB på internett. Det skjer ikke uten risiko.
Svært mange eksponerer databasesystemet MySQL og avleggeren MariaDB på internett. Det skjer ikke uten risiko. Illustrasjon: <a href="https://commons.wikimedia.org/wiki/File:Database-mysql.svg">Wikimedia</a> (CC BY-SA 3.0), Jakub Pavlinec. Montasje: Digi.no
Harald BrombachHarald BrombachNyhetsleder
3. juni 2022 - 12:00

Cybersikkerhetsstiftelsen The Shadowserver Foundation har skannet internett for å se hvor mange MySQL/MariaDB-servere som ligger åpent eksponert. Resultatet var nedslående. 

Shadowserver har skannet hele IPv4-adresserommet, men også en mengde IPv6-adresser hentet fra ulike kilder. I alt ble det funnet nesten 5,38 millioner servere med TCP-port 3306 åpne. Nesten fire millioner av disse var tilgjengelige via IPv4-adresser, noe som stemmer brukbart med antallet søkemotoren Shodan finner

Folks passordvaner er fremdeles svært dårlige, konkluderer Nordpass med etter å ha publisert sin seneste liste.
Les også

De mest brukte passordene i Norge kan knekkes på under ett sekund

Noen har åpen port, stengt tjeneste

Det at porten er åpen betyr ikke at tjenesten er tilgjengelig for alle. For eksempel avviser mange servere alle forespørsler som ikke kommer fra helt spesifikke IP-adresser.

Shadowserver har derfor også sett på hvor mange av serverne som svarer med en hilsen («Server Greeting»). Dette antallet er betydelig lavere, men totalt dreier det seg likevel om drøyt 3,6 millioner servere – 67 prosent av de som eksponerer porten – som det potensielt er mulig for alle å logge seg inn på. De fleste av IPv6-adressene hvor det ble funnet eksponerte MySQL-servere, er for øvrig assosiert med den samme nettverksoperatøren (AS – Autonomous System).

Shadowserver har brukt et eget skript for å be om opplysninger fra hver av disse serverne. Dette skriptet er tilgjengelig via denne siden.

– Det er usannsynlig at du har behov for at MySQL-serveren din tillater eksterne forbindelser fra internett (og dermed en mulig ekstern angrepsflate), skriver Shadowserver.

Få i Norge

De aktuelle serverne er svært ujevnt fordelt rent geografisk. Omtrent 740.000 av MySQL-serverne som er tilgjengelig via IPv4, befinner seg i USA. Kina, Polen, Tyskland og Frankrike er på de neste plassene. I Norge er det bare drøyt tusen MySQL-servere som er eksponert på denne måten. 

Bildet er enda mer interessant når man ser på IPv6-tallene. I de fleste land er dette tallet veldig mye lavere enn IPv4-tallet. Men ikke i USA. Nesten 40 prosent av de eksponerte MySQL-serverne i USA er tilgjengelige via en IPv6-adresse. I Norge har Shadowserver bare funnet 27 eksponerte, IPv6-adresserte MySQL-servere. 

Andre land med mange IPv6-adresserte og eksponerte MySQL-servere inkluderer Nederland, Singapore, Tyskland og Storbritannia.

Mange med samme versjon

Trolig fordi veldig mange av MySQL-serverne som er eksponert via IPv6, er assosiert med samme operatør, er veldig mange av disse serverne som bruker den samme versjonen av MariaDB. Over 908.000 av de IPv6-adresserte serverne kjørte 5.5.5-10.5.12-mariadb-cll-lve på det tidspunktet testen ble utført. Også et par andre versjoner av MySQL og MariaDB er særlig utbredt.

Blant de IPv4-adresserte serverne er det tilsynelatende mye større variasjon i hvilke utgaver og versjoner som benyttes.

Fiona Skansen ved institutt for privatrett, UiO og Kristian Foss, advokat i Bull.
Les også

Tror du IT-leverandøren din vil redde deg? Tro igjen

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.