Μια τεράστια επιφάνεια επίθεσης που περιλαμβάνει ξεπερασμένους διακομιστές Microsoft Internet Information Services (IIS). Κατά τη διάρκεια των καθημερινών σαρώσεων δικτύου του Shadowserver στις 23 Μαρτίου 2026, οι ερευνητές εντόπισαν περισσότερες από 511.000 περιπτώσεις IIS στο τέλος της ζωής (EOL) που ήταν ενεργά συνδεδεμένες στο διαδίκτυο.
Αυτή η εκτεταμένη έκθεση παρουσιάζει σοβαρό κίνδυνο ασφάλειας για οργανισμούς παγκοσμίως, καθώς αυτοί οι απαρχαιωμένοι διακομιστές δεν λαμβάνουν πλέον τυπικές ενημερώσεις κώδικα ασφαλείας.
Οι εισβολείς συχνά σαρώνουν το Διαδίκτυο για μη επιδιορθωμένη υποδομή για να εκμεταλλευτούν γνωστά τρωτά σημεία, να αναπτύξουν κακόβουλο λογισμικό ή να δημιουργήσουν αρχική πρόσβαση σε εταιρικά δίκτυα.
511.000+ IIS Τέλος ζωής Περιπτώσεις
Τα ακατέργαστα δεδομένα που μοιράζεται η Shadowserver δίνουν μια ανησυχητική εικόνα της παγκόσμιας υγιεινής των υποδομών του Διαδικτύου. Από τις 511.000 εκτεθειμένες παρουσίες EOL, περισσότερες από 227.000 έχουν ολοκληρώσει πλήρως την περίοδο των Εκτεταμένων Ενημερώσεων Ασφαλείας (ESU) της Microsoft.
Αυτό σημαίνει ότι σχεδόν οι μισοί από αυτούς τους διακομιστές είναι End-of-Support (EOS) και δεν θα λάβουν ποτέ κρίσιμες επιδιορθώσεις ασφαλείας, ακόμα κι αν οι οργανισμοί πληρώνουν για εκτεταμένη κάλυψη.
Γεωγραφικά, η έκθεση συγκεντρώνεται σε μεγάλο βαθμό σε δύο μεγάλες παγκόσμιες περιοχές. Η Κίνα και οι Ηνωμένες Πολιτείες φιλοξενούν επί του παρόντος τον μεγαλύτερο αριθμό από αυτές τις παρωχημένες παρουσίες IIS.
Για να βοηθήσετε τις ομάδες ασφαλείας να παρακολουθούν αυτές τις εκθέσεις, Ο Shadowserver πλέον επισημαίνει επίσημα τους ευάλωτους διακομιστές όπως «eol-iis» και «eos-iis» στις καθημερινές αναφορές του για ευάλωτα HTTP.
Οι διαχειριστές δικτύου μπορούν να έχουν πρόσβαση σε αυτά τα ακατέργαστα δεδομένα IP, φιλτραρισμένα με βάση τη συγκεκριμένη εκλογική περιφέρεια του δικτύου τους, για να εντοπίσουν εκτεθειμένα στοιχεία στο περιβάλλον τους.
Η λειτουργία διακομιστών ιστού EOL και EOS αυξάνει σημαντικά την ευαισθησία ενός οργανισμού σε κυβερνοεπιθέσεις. Όταν το λογισμικό φτάσει στο τέλος του κύκλου ζωής του, ο πωλητής σταματά επίσημα να το παρακολουθεί για ελαττώματα ασφαλείας.
Εάν εντοπιστεί μια νέα ευπάθεια zero-day σε μια παλιά έκδοση των υπηρεσιών IIS, η Microsoft δεν θα κυκλοφορήσει μια δημόσια ενημέρωση κώδικα για να το διορθώσει. Οι φορείς απειλών κατανοούν αυτή τη δυναμική και κατασκευάζουν ενεργά αυτοματοποιημένα εργαλεία για τον εντοπισμό και την εκμετάλλευση αυτών των συγκεκριμένων παλαιών συστημάτων.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) προειδοποιεί με συνέπεια για τους σοβαρούς κινδύνους που σχετίζονται με τις συσκευές άκρων στο τέλος της υποστήριξης.
Οι εκτεθειμένοι διακομιστές Ιστού συχνά χρησιμεύουν ως το τέλειο στήριγμα για χειριστές ransomware και ομάδες Advanced Persistent Threat (APT).
Μόλις ένας εισβολέας παραβιάσει έναν διακομιστή IIS που βλέπει προς τα έξω, μπορεί να περιστραφεί πλευρικά στο εσωτερικό δίκτυο, να κλέψει ευαίσθητα δεδομένα ή να αναπτύξει κακόβουλα ωφέλιμα φορτία στην ευρύτερη υποδομή.
Μετριασμούς
Οι οργανισμοί πρέπει να δώσουν προτεραιότητα στον εντοπισμό και την ασφάλιση της υποδομής τους που αντιμετωπίζει το Διαδίκτυο για να αποτρέψουν την άμεση εκμετάλλευση.
Οι ομάδες ασφαλείας θα πρέπει να ακολουθούν αυτά τα κρίσιμα βήματα για να μειώσουν αποτελεσματικά την επιφάνεια επίθεσης:
- Ελέγξτε τα στοιχεία εξωτερικού δικτύου για να εντοπίσετε τυχόν διακομιστές που εκτελούν εκδόσεις παλαιού τύπου του Microsoft IIS.
- Ελέγξτε τις αναφορές ευάλωτου HTTP του Shadowserver για να εντοπίσετε εκτεθειμένες IP που σχετίζονται με τον οργανισμό σας.
- Αναβαθμίστε τους διακομιστές EOL σε σύγχρονες, υποστηριζόμενες εκδόσεις του Windows Server και των υπηρεσιών IIS.
- Εγγράψτε συστήματα στο πρόγραμμα Extended Security Update της Microsoft εάν η άμεση μετεγκατάσταση είναι τεχνικά αδύνατη.
- Απομονώστε παλαιού τύπου συστήματα πίσω από ισχυρά τείχη προστασίας εφαρμογών Ιστού και περιορίστε την πρόσβαση μόνο σε βασικές διευθύνσεις IP.
