0
0
Se você conectar bancos de dados/servidores à Internet e protegê-los mal, você pode contar que eles fiquem comprometidos rapidamente.
De acordo com as descobertas da Radoslaw Zdonczyk, Pesquisadora de Segurança da Trustwave SpiderLabs, haverá tentativas de login mesmo antes dos endereços IP dos sistemas serem listados por scanners de Internet como Shodan e BinaryEdge, e uma vez que isso aconteça, seu número aumentará.
Os hackers estão prontos para atacar
Para sua experiência, Zdonczyk implantou dois servidores MySQL e MariaDB e os disponibilizou na porta padrão MySQL/MariaDB (TCP/3306) com uma conta root falsa e uma senha fácil de adivinhar.
Ele configurou a conta root com baixas (mas não mínimas) permissões e manteve a configuração padrão, mas habilitou o registro de eventos. Ele também criou alguns bancos de dados padrão e não padrão com tabelas para fazer com que os honeypots se assemelhassem a um ambiente de produção.
No decorrer de um mês, ele registrou tentativas de logon por bot a partir de 24 endereços IP únicos. “Alguns endereços simplesmente desapareceram após uma força bruta bem sucedida, e depois de algum tempo [uma] conexão de novo IP conseguiu fazer o login na primeira tentativa”, ele encontrou, e deduziu um link.
Os bots não bombardearam os servidores com centenas de milhares de tentativas de bruteforce, tornando óbvio que os atacantes oportunistas de bot sabem que verificar lentamente as senhas populares pode resultar em acesso a servidores suficientes.
Não fornecer recursos facilmente exploráveis para os atacantes
O que os atacantes fazem com esse acesso?
De acordo com Zdonczyk, eles tentam garantir que terão acesso permanente, baixando uma porta traseira (plugin) e colocando-a em vários locais, e tentam esconder atividades maliciosas nos servidores. Eles também tentam conceder todas as permissões possíveis para a conta raiz e criar novas, bem como matar vários processos para preparar o terreno para um novo ataque.
“Embora eu não tenha observado nenhuma atividade indicando que o atacante estava baixando arquivos, bancos de dados ou tentativas de criptografar um drive (ransomware), o objetivo principal do ataque era assumir o controle do servidor (parcial ou completo) e estabelecer um canal CNC”, ele observou.
Para que os atacantes vão usar esses servidores?
“[Eles] podem ser úteis para realizar mais ataques, mas quanto ao resto, só podemos especular”, disse Zdonczyk à Help Net Security.
“A lista de possibilidades pode ser infinita, mas o servidor comprometido muito provavelmente se tornará outro botnet peer, que pode ser usado em ataques DDoS e outras campanhas”.
Conselhos de segurança para administradores de banco de dados
Este tipo de ataque certamente não é uma ameaça aos bancos de dados bem administrados, observou ele. Infelizmente, há sempre (também) muitos que não o são.
“O serviço na fronteira da Internet é sempre desafiador com o uso de tecnologias de virtualização e de contêinerização. Recomendo o uso de senhas longas e complexas (se possível, usando certificados) e não nomes de usuário óbvios (‘root’, ‘admin’)”. Esta deveria ser uma prática padrão hoje”, aconselhou ele.
“Em termos de revisão de usuários/grupos/funções/ permissões de componentes – quanto mais restrito, melhor”. O uso de scanners de auditoria de segurança de banco de dados (por exemplo, AppDetectivePro) e soluções VPN (por exemplo, P2P, OpenVPN) é uma escolha sábia. A conformidade com as normas de segurança CIS ou STIG também é recomendada”.
Quando se trata de proteger um banco de dados, o processo depende de muitos fatores: tamanho e finalidade do banco de dados, tipo de implantação, e assim por diante, acrescentou ele.
“Em vez de listar plugins específicos ou opções de configuração, felizmente, a Internet está cheia de bons documentos que descrevem este tópico. Eu recomendo a realização de uma boa auditoria de segurança. Você precisa realizar uma auditoria que cubra não apenas a área do banco de dados, mas toda a organização”.
CISOs e administradores de banco de dados podem usar este artigo para quantificar o nível de segurança de seus bancos de dados e para identificar passos para melhorá-lo ainda mais.
FONTE: HELPNET SECURITY