Publicado el 18 de junio de 2018
En el último año se han producido repetidas violaciones de datos causadas por operadores que alojan accidentalmente servidores de bases de datos en la Internet pública.1 En muchos casos, estos servidores -que nunca deberían haber sido accesibles- estaban configurados con una autenticación deficiente o totalmente inexistente.
Para ayudar a las organizaciones a investigar y controlar si han expuesto bases de datos por error, hemos añadido análisis para cuatro servidores de bases de datos relacionales populares: MySQL, PostgreSQL, Microsoft SQL Server y Oracle Database. También añadiremos soporte para Redis, Memcached, MongoDB, Cassandra y Elasticsearch a finales de este año. Escaneamos realizando un protocolo inicial con los hosts. Nunca intentamos iniciar sesión ni descargar datos de usuario de los servidores que encontramos.
Exposición de bases de datos en la actualidad
La magnitud de las bases de datos en línea es sorprendente. Hay unos 5,5 millones de servidores de bases de datos relacionales en la Internet pública: 680.000 MSSQL, 540.000 Postgres, 94.000 Oracle y 4,7 millones MySQL.2 . Estos hosts están repartidos por un gran número de redes: 25,3 millones de sistemas autónomos (AS) contienen servidores de bases de datos y ningún AS contiene más del 5% de los servidores expuestos públicamente. Las tres redes más expuestas son OVH, EGI Hosting y Amazon (véase el desglose completo).
Gran parte de ese resultado está sesgado hacia MySQL, de la que hay un orden de magnitud más de servidores que de las otras bases de datos. Los demás motores muestran una mayor concentración en un número reducido de redes. Algo más del 20% de los servidores MSSQL y el 30% de los PostgreSQL están alojados en el proveedor polaco home.pl. Más allá de home.pl, vemos un gran número de servidores en proveedores de nube populares como Amazon, Azure, Hetzer y OVH. También hay una notable inclinación hacia muchas redes asiáticas. Por ejemplo, alrededor del 20% de los servidores Microsoft SQL Servers y el 30% de los servidores Oracle en línea se encuentran en China y Corea. Sin embargo, mientras que muchos de los servidores están en proveedores populares, hay decenas de miles de otras redes que contienen uno o dos servidores, y son probablemente igualmente preocupantes.
Para realizar un seguimiento de la exposición de las bases de datos en el futuro, vamos a publicar un cuadro de mandos en tiempo real, Relational Database Exposure Report (Informe sobre la exposición de las bases de datos relacionales), que muestra datos en tiempo real sobre la exposición de las bases de datos relacionales.
Compruebe si su red está expuesta
Aunque algunos de estos servidores pueden estar intencionadamente conectados a Internet, sospechamos que muchos no lo están. Es una buena práctica no tener servidores de bases de datos accesibles públicamente. Puede comprobar si hay bases de datos expuestas en su propia red buscando la base de datos de etiquetas.
Acerca de Censys, Inc.
Censys es una empresa de seguridad de la información con sede en Ann Arbor que ayuda a las organizaciones a proteger su perímetro de red mediante la supervisión continua de todos los hosts conectados a Internet. Censys indexa dispositivos y servicios realizando miles de millones de handshakes de red y búsquedas DNS por hora. Esta perspectiva descubre activos desconocidos y proporciona información práctica sobre seguridad a organizaciones de todos los tamaños. Censys también proporciona datos globales a cazadores de amenazas, probadores de penetración y a la comunidad investigadora en general. [más información]
¿Le gusta la seguridad y jugar con datos? Censys está contratando a varios ingenieros de software para puestos a tiempo completo. Consulte nuestra página de empleo para obtener más información.
1 Verizon DBIR 2018: "Los errores estuvieron en el centro de casi una de cada cinco (17%) brechas. [...] Las malas configuraciones, en particular las bases de datos no seguras, así como los errores de publicación también fueron frecuentes."
2 De los 4,7 millones de servidores MySQL, 2,4 millones no permiten el acceso a través de Internet, ya que devuelven un error de Host no privilegiado o Host bloqueado. Aunque aplaudimos que los operadores limiten el acceso a IPs específicas, animamos a estos usuarios a bloquear cualquier acceso a estos servidores. No intentamos iniciar sesión en ningún servidor que encontramos en línea, pero esperamos que los otros 2,3M permitan iniciar sesión en Internet.
