Hàng triệu máy chủ web của Microsoft đứng trước nguy cơ tấn công qua lỗ hổng trên phần mềm lỗi thời

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi Sugi_b3o, 10/09/21, 06:09 PM.

  1. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 399
    Đã được thích: 299
    Điểm thành tích:
    63
    Các nhà nghiên cứu CyberNews xác định hơn 2 triệu máy chủ web trên toàn thế giới vẫn đang chạy trên các phiên bản cũ của phần mềm Microsoft Internet Information Services, khiến các hệ thống dễ trở thành mục tiêu của tội phạm mạng.

    Chiếm 12,4% thị phần, Microsoft Internet Information Services (IIS) là bộ phần mềm máy chủ web phổ biến thứ ba, được sử dụng cho ít nhất 51,6 triệu trang web và ứng dụng web trên toàn thế giới. Về bảo mật, hầu hết các máy chủ web chạy phiên bản mới nhất của IIS nói chung đều hoạt động tốt.

    Tuy nhiên, không phải tất cả các phiên bản của IIS đều được tạo ra như nhau.

    iis web servers featured image.jpg

    Trong khi Microsoft giữ cho các phiên bản mới hơn tương đối an toàn bằng cách phát hành các bản cập nhật bảo mật và các bản vá lỗ hổng, các phiên bản IIS cũ hơn từ 7.5 trở xuống không còn được công ty hỗ trợ nữa. Và giống như các loại phần mềm máy chủ lỗi thời khác, tất cả các phiên bản cũ của Microsoft IIS đều mắc phải nhiều lỗ hổng nghiêm trọng.

    Điều này có nghĩa là bất kỳ trang web nào chạy trên phiên bản IIS không được hỗ trợ đều là mục tiêu sinh lợi cho các tác nhân đe dọa, cho phép chúng dễ dàng xâm nhập vào các trang web đó, đưa chúng vào phần mềm độc hại nguy hiểm và lấy cắp dữ liệu của khách truy cập, bao gồm cả thông tin đăng nhập và thanh toán.

    Với suy nghĩ đó, chúng tôi tại CyberNews đã quyết định tìm hiểu xem có bao nhiêu máy chủ web vẫn được cung cấp năng lượng bởi các phiên bản Microsoft IIS đã ngừng hoạt động, khiến chúng trở thành mục tiêu béo bở cho tội phạm mạng.

    Thu thập và phân tích dữ liệu

    Để thực hiện điều tra, các nhà nghiên cứu xác định 5 phiên bản khác nhau của IIS đã bị Microsoft ngừng cung cấp cùng các lỗ hổng (CVE) liên quan đến các phiên bản đó.

    Sau đó, các nhà nghiên cứu sử dụng công cụ tìm kiếm IoT để tìm kiếm các máy chủ web IIS chưa được vá lỗi, có khả năng bị nhiễm các CVE. Các nhà nghiên cứu cũng đã lọc và loại bỏ các honeypot trước khi phân tích kết quả thu được.

    Vulnerable IIS servers online.jpg

    2 triệu máy chủ Microsoft IIS dễ bị tấn công bởi các tác nhân đe dọa

    Có 7.335.868 máy chủ web trên khắp thế giới đang chạy các phiên bản cũ của IIS có khả năng bị tấn công.

    72% trong số này là các honeypot được các nhà nghiên cứu và các nhóm bảo mật sử dụng làm mồi nhử, hơn 2 triệu còn lại thực sự đang chạy trên phần mềm tồn tại lỗ hổng và không còn được Microsoft hỗ trợ.

    Theo nhà nghiên cứu bảo mật Mantas Sasnauskas của CyberNews, vì các máy chủ web lưu trữ các trang web công cộng phải có thể truy cập công khai để hoạt động, chúng cũng đang phát sóng các phiên bản IIS lỗi thời của mình cho mọi người xem.


    Terumi Laskowsky, một giảng viên an ninh mạng tại DevelopIntelligence, lập luận rằng việc có quá nhiều máy chủ web dễ bị tấn công ở chế độ mở khiến cho các tác nhân đe dọa thực hiện trinh sát vô cùng dễ dàng. Laskowsky nói với CyberNews: “Nếu có hàng triệu máy chủ IIS chưa được vá lỗi, những kẻ tấn công sẽ cảm thấy như những đứa trẻ trong một cửa hàng kẹo.

    Nhận thức được các lỗ hổng của máy chủ web, các tác nhân đe dọa có thể nhanh chóng thu thập dữ liệu về cách tốt nhất để tấn công mục tiêu.

    Các máy chủ web IIS dễ bị tấn công nhất được đặt tại Trung Quốc

    Trung Quốc đứng đầu danh sách với 679.941 máy chủ đang chạy các phiên bản cũ của IIS. Trong khi đó, 581.708 máy chủ không được bảo vệ nằm ở Hoa Kỳ.

    Hồng Kông chiếm 203.786 máy chủ IIS dễ bị tấn công, đứng thứ ba, trong khi Hàn Quốc và Đức nằm trong top 5 với con số lần lượt là 54.981 và 43.857 máy chủ.

    Vulnerable server locations.jpg

    Theo Andrew Useckas, CTO tại hãng ThreatX, lý do Trung Quốc đứng đầu danh sách là do chính sách lỏng lẻo của nước này đối với vi phạm bản quyền phần mềm và sự gia tăng lớn của các bản sao Windows lậu.

    Ben Carr, CISO của Qualys cho biết thêm tốc độ phát triển của nền kinh tế Trung Quốc có thể là một lý do khác đằng sau số lượng lớn các máy chủ web không an toàn trên khắp đất nước này.

    Phiên bản IIS dễ bị tấn công nhất

    Trên thực tế, mọi phiên bản lỗi thời của Microsoft IIS đều dễ bị ảnh hưởng bởi ít nhất 5 lỗ hổng đã biết, hầu hết trong số đó là các lỗ hổng nghiêm trọng và tương đối dễ khai thác bởi các hacker có kinh nghiệm.

    Tuy nhiên, phiên bản 7.0 là phiên bản Microsoft IIS dễ bị tấn công nhất bởi 17 lỗ hổng đã liệt kê theo trang itsecdb.com. Hiện đã xác định được 47.620 máy chủ web cũ đang chạy trên phiên bản IIS này.

    Most vulnerable IIS versions.jpg

    1,4 triệu máy chủ dễ bị tấn công IIS phiên bản 7.5

    Mặt khác, phiên bản 7.5 đã bị Microsoft khai tử vào ngày 14 tháng 1 năm 2020, cho đến nay dường như là phiên bản Microsoft IIS phổ biến nhất được chạy bởi các máy chủ tồn tại lỗ hổng.

    Top 3 IIS versions by vulnerable servers.jpg

    Phiên bản 6.0 có 167.870 máy chủ web dễ bị tấn công, hầu hết được đặt ở Trung Quốc. Phiên bản 7.0, phiên bản dễ bị tấn công nhất, nằm ở vị trí thứ ba với 47.620 máy chủ và 47% trong số đó có trụ sở tại Hoa Kỳ.

    Nếu quan tâm đến vấn đề bảo mật, thì việc giữ cho phần mềm của bạn luôn được cập nhật là điều hiển nhiên. Điều này đặc biệt đúng đối với các nhà phát triển web

    “Lời khuyên cho bạn là Hãy cập nhật bản vá ngay hoặc sau này sẽ phải hối hận”
     
    Last edited by a moderator: 20/09/21, 01:09 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. WhiteHat News #ID:3333
  2. WhiteHat Team
  3. WhiteHat Team
  4. Ginny Hà
  5. WhiteHat Team