พบเซิร์ฟเวอร์ MySQL มากกว่า 3.6 ล้านเครื่องสามารถเข้าถึงได้จากอินเทอร์เน็ต

​เซิร์ฟเวอร์ MySQL มากกว่า 3.6 ล้านเครื่อง สามารถเข้าถึงได้โดยตรงบนอินเทอร์เน็ต ทำให้เซิร์ฟเวอร์เหล่านี้เป็นเป้าหมายที่น่าสนใจสำหรับแฮ็กเกอร์ โดยมีเซิร์ฟเวอร์ MySQL ที่สามารถเข้าถึงได้ 2.3 ล้านเครื่องเชื่อมต่อผ่าน IPv4 และ 1.3 ล้านเครื่องผ่าน IPv6

แม้ว่าปกติ Web services และ Application จะเชื่อมต่อกับ database โดยอยู่คนละ Instance กัน แต่ที่จริงแล้ว database ควรถูกจำกัดให้มีเพียงอุปกรณ์ที่ได้รับอนุญาตเท่านั้นที่สามารถเชื่อมต่อได้

นอกจากนี้ การที่เปิดให้ database สามารถเชื่อมต่อได้โดยตรงบนอินเทอร์เน็ต ควรมีการตั้งค่าการเข้าถึงของผู้ใช้งานอย่างเข้มงวด เช่น การเปลี่ยน Default port ที่ใช้ในการเข้าถึง (3306), เปิดใช้งานการเก็บ log, มอนิเตอร์การ queries ข้อมูลทั้งหมด รวมถึงต้องมีการใช้งาน encryption ด้วย

เซิร์ฟเวอร์ MySQL 3.6 ล้านเครื่องอยู่ในความเสี่ยง

เมื่อสัปดาห์ที่แล้วจากการสแกนที่ดำเนินการโดยกลุ่มนักวิจัยความปลอดภัยทางไซเบอร์ The Shadowserver Foundation พบว่าเซิร์ฟเวอร์ MySQL สามารถเข้าถึงได้โดยตรงบนอินเทอร์เน็ต 3.6 ล้านเครื่อง ซึ่งมีการเปิดใช้งาน Default port คือ port TCP 3306

โดยประเทศที่มีเซิร์ฟเวอร์ MySQL ที่เข้าถึงได้มากที่สุดคือสหรัฐอเมริกา ซึ่งมีจำนวนเกิน 1.2 ล้านเซิร์ฟเวอร์ และประเทศอื่นๆ ที่มีจำนวนมาก ได้แก่ จีน เยอรมนี สิงคโปร์ เนเธอร์แลนด์ และโปแลนด์

ผลการสแกนโดยละเอียดมีดังนี้:

จำนวนเซิร์ฟเวอร์ที่มี IPv4: 3,957,457
จำนวนเซิร์ฟเวอร์ที่มี IPv6: 1,421,010
จำนวนเซิร์ฟเวอร์ที่มีการตอบกลับการพยายามเชื่อมต่อ ทั้งหมดบน IPv4: 2,279,908
จำนวนเซิร์ฟเวอร์ที่มีการตอบกลับการพยายามเชื่อมต่อ ทั้งหมดบน IPv6: 1,343,993
เซิร์ฟเวอร์ที่มีการตอบกลับการพยายามเชื่อมต่อนับเป็นประมาณ 67% ของ MySQL เซิร์ฟเวอร์ทั้งหมดที่พบ
กลุ่มแฮ็กเกอร์ที่ขายข้อมูลที่ถูกขโมยมา เคยบอกกับ BleepingComputer ว่า หนึ่งในสาเหตุที่ทำให้ถูกขโมยข้อมูลที่พบบ่อยที่สุดคือ การตั้งค่าด้านความปลอดภัยของ databases ไว้อย่างไม่เหมาะสม ซึ่งผู้ดูแลระบบควรปิดการเข้าถึงโดยตรงจากอินเทอร์เน็ตเพื่อลดความเสี่ยงจากการถูกโจมตี

การตั้งค่าความปลอดภัยของเซิร์ฟเวอร์ MySQL ไว้อย่างไม่เหมาะสม อาจส่งผลให้เกิดข้อมูลรั่วไหล, การถูกลบ หรือทำลายข้อมูล, การถูกขู่เรียกค่าไถ่จากแรนซัมแวร์, การติดโทรจัน หรือแม้แต่ถูกยึดครองโดยผู้โจมตี

ที่มา: bleepingcomputer