Près d'un demi million de serveurs base de données menacés

Le par  |  4 commentaire(s)

La publication d'une étude sème le trouble sur la sécurité des serveurs hébergeant des bases de données. Pour la plupart, les vulnérabilités sont nombreuses et les négligences persistent.

La conclusion apportée par David Litchfield, spécialiste en sécurité de NGSSoftware, est peu rassurante lorsque son étude portant sur la sécurité des serveurs hébergeant des bases de données indique qu'un grand nombre d'entre eux reste encore facilement accessible à quiconque sur Internet.

Pour les besoins de son étude, Litchfield a tout simplement généré et scanné près d'un million d'adresses IP et tenté un accès sur les ports configurés par défaut des bases de données Oracle et de Microsoft SQL Server. Il a ainsi trouvé 157 serveurs SQL Server et 53 serveurs Oracle accessibles. En s'appuyant sur une estimation du nombre de machines totales reliées à la toile, il évalue à près de 368 000 et 124 000 serveurs hébergeant respectivement des bases de données SQL Server et Oracle directement accessibles de l'extérieur.


De plus en plus de bases de données vulnérables
Deux ans plus, tôt, David Litchfield avait déjà conduit une étude de ce même type dont son estimation de bases de données Microsoft et Oracle s'élevaient à un total de 350 000 serveurs exposés. On peut s'étonner de voir que la version 2007 de cette étude recense encore plus de serveurs et Litchfield est assez surpris que de nombreux serveurs ne soient pas configurés derrière des pare-feu adéquats.

En 2005, la même étude donnait une estimation de l'ordre de 140 000 bases de données Oracle et 210 000 SQL Servers exposées. Pour la baisse du nombre de serveurs de bases de données Oracle pour cette année, David Litchfield n'a pas de réelles explications. Il avance seulement que c'est certainement la facilité d'installation de SQL Server qui a pu jouer en faveur de Microsoft.


Peu de correctifs appliqués
Un autre point, encore plus préoccupant selon Litchfield, est qu'il reste toujours beaucoup de bases de données dont l'application des correctifs de sécurité laisse à désirer. Il précise par exemple, que des installations SQL Server sont encore vulnérables au ver Slammer dont l'apparition remonte tout de même à 2003.

Finalement, il ajoute qu'en grande majorité, que ce soit pour les bases de données SQL Server ou Oracle, la plupart des installations ont été très peu mises à jour vers des éditions plus récentes.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #192571
est-ce à dire que ceux qui hebergent nos données malgré leur proclamation que personne ne s'en servira, ne controlent même pas l'accés à ces dites-données ?
on est bien loti moi je dis lol.
Le #192574
Eh oui triste constat mais qui me surprend pas.
Cependant on le remarque facilement en entreprise, dès qu'il s'agit d'effectuer une opération de maintenance sur un serveur de base de données, tout le monde met son veto.
Le #192578
Ca se comprend aussi : le temps de traitement que ça prend, éventuellement des patchs à redistribuer sur les clients, les arrêts pas forcément faciles à planifier, etc...
Le #192602
La méconnaissance (du fonctionnement en réseau d'un SGBD) et la dilution des responsabilités (le DBA se fout pas mal des considérations de firewalling et l'ingénieur sécurité ignore que les DBA viennent d'ajouter une machine ou viennent d'ajouter un SGBD sur une machine dékà connectée) font le reste.
db
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]