Téměř 3000 MySQL databází leží na internetu bez ochrany. Útočníci už vědí proč
Čísla, která by vám neměla dát spát
Začněme číslem, které mluví za vše: z 2 931 odhalených MySQL databází jich bylo 2 930 již označeno provozovateli ransomwaru. Nejde o predikci. Nejde o "moglo by se to stát". Jde o potvrzený stav cílení.
Procenta? Vysokých 99,96 %.
Pokud jste si mysleli, že odhalené databáze zůstanou bez povšimnutí — že budou tiše sedět, dokud na ně někdo nenarazí — tato data tuto iluzi boří. Útočníci nečekají. Dávno sledují.
Šest let starý scénář, který pořád funguje
A tady přichází ta nepohodlná pravda: scénář, který útočníci používají, rozhodně není žádná sofistikovaná zero-day útočná řetězec. Je to v podstatě stejná metodika, která koluje po internetu od roku 2019–2020.
Mluvíme o:
- Automatizovaném skenování odhalených databázových portů (3306 v případě MySQL)
- Credential stuffing s výchozími nebo slabými hesly
- Enumeraaci databáze pro identifikaci hodnotných cílů
- Tichém exfiltrování dat před šifrováním
- Nasazení ransomwaru s čím dál agresivnějšími časovými limity
Nástroje dospěly. Automatizace se zlepšila. Ale základní vstupní bod? Špatná konfigurace. Odhalené porty. Zapomenutá testovací prostředí nechaná připojená k veřejnému internetu.
Tohle není dílo sofistikovaných národních aktérů. Jde o oportunistické skenování v průmyslovém měřítku, prováděné skupinami, které proměnily kompromitaci databází v efektivní byznys model.
Proč jsou odhalené databáze nízko visící ovoce
Možná se ptáte: když je to tak známé, proč databáze zůstávají odhalené?
Odpověď je překvapivě prostá:
Pohodlí vývojářů – Lokální vývoj často znamená otevřené porty pro snadný přístup. Někdy se do produkce dostane s těmito nastaveními.
Chyby v cloudu – Veřejné cloudové instance často startují se security groups v příliš permisivním stavu "jen na otestování".
Zapomenutá testovací prostředí – Ten staging server z roku 2022? Pořád běží. Pořád odhalený.
Žádná viditelnost – Týmy prostě nevědí, co je vystaveno internetu.
Předpoklad neviditelnosti – "Kdo by nás chtěl?" Odpověď: automatizované boty, kteří nediskriminují.
Co to znamená pro vaši infrastrukturu
Pokud provozujete jakékoliv MySQL databáze — ať už pro aplikace, analytiku nebo zákaznická data — zacházejte s odhalenými instancemi jako s kompromitovanými. I když jste zatím žádné známky vloupání nezaznamenali.
Útočníkův scénář počítá s tím, že:
- Databáze jsou špatně monitorované
- Zálohy jsou na stejném potenciálně kompromitovaném systému
- Organizace propadnou panice a radši zaplatí, než aby obnovily ze záloh
- Čas detekce a reakce je dostatečně pomalý na to, aby se šifrování vyplatilo
A v mnoha případech mají pravdu.
Okamžité kroky, které podnikněte
Zmapujte svou expozici:
- Použijte nástroje jako Shodan, Censys nebo BinaryEdge a zjistěte, jestli vaše IP adresy nejsou v databázích internetového skenování
- Projděte security groups a network ACLs u vašeho cloudového poskytovatele
- Ověřte, že žádný databázový port není přístupný z 0.0.0.0/0
Posilte autentifikaci:
- Vynucujte silná a unikátní hesla pro všechny databázové účty
- Implementujte IP allowlisting všude, kde to jde
- Zvažte tunelování připojení přes VPN nebo bastion hosty místo přímé expozice
Ověřte strategii zálohování:
- Jsou zálohy uloženy offline nebo v oddělené bezpečnostní zóně?
- Kdy proběhla poslední úspěšná obnova ze zálohy?
- Máte možnost point-in-time recovery?
Nastavte logování a monitoring:
- Auditní logy databáze by měly zachycovat pokusy o připojení, dotazy a administrativní akce
- Nastavte upozornění na neobvyklé přístupové vzory nebo hromadný export dat
- Zvažte DAM (Database Activity Monitoring) řešení
Větší obrázek: Bezpečnost jako infrastruktura
Tohle není jen problém databází. Je to připomínka, že bezpečnost musí být treated jako základní infrastruktura, ne jako dodatečná myšlenka.
U NameOcean tento vzorec vidíme opakovaně — startupy a vývojáři jedou na plné pecky, shipují funkce a nechtěně vystavují infrastrukturu. Tlak na rychlé iterace je reálný, ale cena ransomwarového incidentu nebo úniku dat dalece převyšuje engineering hours potřebné na správné zabezpečení od začátku.
Váš domain registrátor, váš hosting provider, vaše DNS konfigurace — to všechno jsou vstupní body, které si zaslouží stejnou pozornost, jakou (doufejme) věnujete databázové vrstvě.
Závěr: Počítejte s tím, že vás někdo sleduje
Těch 2 930 označených databází nejsou anomálie. Reprezentují širší realitu: pokud je vaše databáze vystavena internetu, už je na radaru někoho.
Scénář je šest let starý proto, že funguje. Nenechte se familiaritou s těmito útočnými metodami ukolébat. Místo toho nechte motivovat k akci.
Zmapujte expozici. Zamykejte přístup. Ověřte zálohy. A pamatujte: v současném threat landscape není neviditelnost bezpečnostní strategií.
Buďte v bezpečí.
Máte otázky ohledně zabezpečení databázové infrastruktury nebo hostingového prostředí? Napište do komentářů — rádi vám pomůžeme stavět bezpečně od základu.