DeafNews
// 1 CRITICAL · 1 ZERO-DAY · 2 CVE · 2 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Cybersecurity

MySQL esposto al 26%: la top 10 delle esposizioni 2026

Published: Updated: By DeafSuite team 7 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
L'Intruder 2026 ASM Index rivela database e pannelli admin esposti come vettori principali. Time-to-exploit a un giorno, remediation fino a 56 per il midmarket.

Il 17 giugno 2026 Intruder ha pubblicato il suo Attack Surface Management Index, analizzando 3.000 organizzazioni nel periodo marzo 2025-marzo 2026. I dati mostrano una top 10 di esposizioni completamente priva di zero-day: MySQL esposto al 26% delle organizzazioni, pannelli HTTP admin accessibili al 60%, documentazione API pubblica per oltre un settimo delle aziende. La posta in gioco è la velocità offensiva, con time-to-exploit compresso a un singolo giorno, contro una difesa che per il midmarket arriva a 56 giorni di media.

Punti chiave
  • Il 26% delle organizzazioni ha database MySQL raggiungibili da Internet; il 60% espone almeno un pannello HTTP di amministrazione
  • La documentazione API supera RDP nella classifica delle esposizioni, con oltre 1 su 7 organizzazioni colpite
  • Il time-to-exploit è sceso a un giorno, mentre Mandiant registra exploitation mediamente 7 giorni prima del rilascio della patch
  • Le aziende da 5.000 a 10.000 dipendenti impiegano 56 giorni medi per la remediation, quattro volte più delle piccole imprese

La top 10: hygiene fondamentale, non vulnerabilità avanzate

L'analisi di Intruder su 3.000 clienti identifica dieci esposizioni ricorrenti che non dipendono da flaw zero-day ma da configurazioni difettose. Al primo posto MySQL, esposto nel 26% delle organizzazioni secondo il comunicato stampa originale. PostgreSQL segue con circa un sesto delle aziende, pari al 17%. La novità è al terzo posto: la documentazione API, che supera RDP con più di un settimo delle organizzazioni coinvolte.

RDP scende al quinto posto, pur rimanendo vettore storico iniziale per ransomware. Il 49% delle organizzazioni espone porti o servizi ritenuti rischiosi; il 42% ha database direttamente raggiungibili da Internet. Il 30% pubblica file o informazioni non intenzionalmente accessibili. A completare la classifica servizi legacy come SNMP, UPnP, NTP e RPC. Il 60% delle organizzazioni ha almeno un pannello HTTP esposto: admin console, management UI o login page per tool interni.

"With time-to-exploit now down to a single day, the question isn't just how fast you can patch. It's why the service was exposed in the first place."

Chris Wallis, CEO di Intruder, collega la compressione dei tempi offensivi all'emergere di modelli AI autonomi come Mythos, citati nel 2026 ASM Index come acceleranti del landscape. La fonte non quantifica l'impatto specifico di Mythos con metriche tecniche documentate.

Il paradosso del midmarket: complessità enterprise, risorse insufficienti

I dati Intruder mostrano una correlazione inversa tra dimensione organizzativa e velocità di remediation che sfida l'intuizione. Le banche chiudono in 11 giorni medi, il retail in 10. L'automotive e il farmaceutico salgono a 43 giorni, le assicurazioni a circa 50. Il picco è per le organizzazioni tra 5.000 e 10.000 dipendenti: 56 giorni medi, quattro volte più lento delle piccole imprese.

Questa finestra di 56 giorni si sovrappone a un time-to-exploit di un giorno. Il disallineamento non è tecnologico ma organizzativo: le aziende in crescita gestiscono superfici di attacco che espandono esponenzialmente, senza scaling equivalente dei processi di governance.

Arctic Wolf, con dati primari da oltre 800.000 asset IT, corrobora il quadro. Il 33% degli asset manca di almeno un controllo critico: patch management, endpoint security o visibilità vulnerability management. Il 19% è end-of-life. Questi numeri indicano un problema di fondo nella visibilità e governance degli asset, non solo di vulnerabilità tecniche.

L'exploitation batte il patch: i dati convergenti Mandiant e CrowdStrike

La meta-analisi di Stingrai, che aggrega dati NVD, Mandiant, CrowdStrike, Google e IBM, conferma la tendenza. Mandiant M-Trends 2026, basato su 450.000 ore di incident response, stima il mean time to exploit a meno 7 giorni: exploitation mediamente precedente al rilascio della patch. CrowdStrike riporta che il 42% delle vulnerabilità viene sfruttato prima della divulgazione pubblica.

La convergence tra queste fonti rende il dato Intruder — time-to-exploit a un giorno — parte di un pattern più ampio, non anomalia. Arctic Wolf aggiunge un dato di contesto: ognuna delle top 10 CVE più sfruttate nei casi di incident response del 2025 era datata 2024 o precedente, e tutte avevano patch disponibili. Secondo la fonte, gli attaccanti seguono il percorso di minor resistenza: "When perimeter defenses improve, they move to the legacy VPNs, the RMM agent still running on a retired endpoint, or the remote access service with stale or missing endpoint protection."

L'abuso di servizi di accesso remoto rappresenta il 65% dei casi IR non-BEC, raddoppiato rispetto al passato. Questo dato Arctic Wolf posiziona RDP e strumenti analoghi non come vulnerabilità tecniche ma come vettori operativi sistematicamente sfruttati.

Cosa fare adesso

Il dossier non specifica misure correttive dettagliate da parte dei vendor citati. Le azioni prioritarie emergono dai dati documentati:

  • Mappatura dei pannelli HTTP esposti: con il 60% delle organizzazioni interessate, identificare admin console, management UI e login page raggiungibili da Internet è il primo passo. Il brief non dettaglia metodologie specifiche di rilevazione.
  • Riduzione della raggiungibilità dei database: il 42% delle organizzazioni ha database direttamente esposti; il 26% specificamente MySQL. La rimozione dell'accesso Internet non richiede patch ma riconfigurazione di rete.
  • Verifica della documentazione API pubblica: con oltre 1 su 7 organizzazioni colpite, la revisione dei repository e dei portali developer esposti è prioritaria. Il brief non specifica strumenti per questa verifica.
  • Accelerazione della remediation nel midmarket: il gap di 56 giorni per le organizzazioni 5.000-10.000 dipendenti richiede revisione dei processi interni, non solo deploy tecnologico. Arctic Wolf documenta una riduzione del 43% delle esposizioni con programma Aurora ASM maturo.

Perché l'hygiene non scala automaticamente

Il nucleo tecnico del fenomeno è la discrepanza strutturale tra velocità offensiva e difensiva. Quando l'exploitation precede sistematicamente il patch, la riduzione preventiva della superficie di attacco diventa più efficiente del patching reattivo. Ma la riduzione richiede visibilità, e la visibilità richiede governance.

Il midmarket è particolarmente vulnerabile perché attraversa una transizione: non più piccola impresa con superficie limitata, non ancora enterprise con processi maturi. I dati mostrano che questa transizione ha un costo in termini di giorni di esposizione che le organizzazioni pagano in scaling lineare della complessità senza scaling equivalente dei controlli. La sfida non è tecnica ma organizzativa: come fare emergere la priorità di hygiene fondamentale nei board che associano cybersecurity a investimenti avanzati.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Sul tema

  • GhostTree: l'attacco NTFS che blocca gli EDR
  • iRhythm: rubati dati sanitari di pazienti via social engineering
  • ShinyHunters sferza 100+ università con zero-day Oracle

Fonti

Fonti e riferimenti
  1. thehackernews.com
  2. cisa.gov
  3. stingrai.io
  4. security.paloaltonetworks.com
  5. nvd.nist.gov
  6. arcticwolf.com
  7. wiz.io
  8. businesswire.com
  9. support.paloaltonetworks.com