Internet : 3,6 millions de serveurs MySQL sont accessibles sur le port par défaut
Nous sommes en 2022, la sécurité des systèmes est au cœur des préoccupations, et pourtant, des chercheurs en sécurité ont trouvé un total de 3,6 millions de serveurs MySQL exposés sur Internet directement via le port par défaut.
Les chercheurs en sécurité de la Fondation Shadowserver ont effectué un scan d'Internet à partir de l'outil nmap et ils sont parvenus à identifier 3,6 millions de serveurs MySQL exposés sur Internet. Ces serveurs sont exposés publiquement et ils répondent aux requêtes sur le port par défaut (3306).
Sur ce total de 3,6 millions de serveurs, il y en a 2,3 millions (2 279 908 pour être précis) qui sont connectés via des adresses IPv4 et 1,3 million via des adresses IPv6 (1 343 993 pour être précis).
Admettons qu'un serveur de base de données MySQL soit accessible depuis Internet pour qu'un serveur Web puisse l'exploiter, cela peut se comprendre. Néanmoins, ce type de configuration nécessite de prendre des précautions, à commencer par utiliser un port d'écoute différent de celui par défaut (3306 en TCP), mais aussi surveiller les requêtes, restreindre les accès au strict minimum, etc...
Ce qui est intéressant, c'est qu'il y a une carte correspondante à l'emplacement de ces serveurs MySQL, avec une répartition par pays. Cette carte montre qu'en France, il y a 55 000 serveurs MySQL disponibles sur Internet via le port par défaut. À titre de comparaison, aux États-Unis, il y a plus de 740 000 serveurs, en Allemagne il y a 174 900 serveurs et en Pologne 207 800 serveurs.
Au total, la Fondation Shadowserver a identifié environ 5,3 millions de serveurs MySQL et 67% de tous les services MySQL trouvés sont accessibles depuis Internet, ce qui correspond au total de 3,6 millions de serveurs.
Les propriétaires de ces serveurs MySQL feraient mieux d'agir pour sécuriser leur instance (guide MySQL) car c'est une surface d'attaque intéressante pour les pirates informatiques. Reste à savoir si ces serveurs sont réellement utilisés et quelles sont les bases de données qu'ils hébergent, mais ça, la Fondation Shadowserver n'a pas cherché à le savoir.