Hơn 500.000 máy chủ IIS “hết hạn” bị phơi bày: Nguy cơ tấn công diện rộng

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.723 bài viết
Hơn 500.000 máy chủ IIS “hết hạn” bị phơi bày: Nguy cơ tấn công diện rộng
WhiteHat Team
Một phát hiện mới đây của các chuyên gia an ninh mạng đang làm dấy lên lo ngại trên toàn cầu khi hơn 511.000 máy chủ Microsoft IIS (Internet Information Services) đã hết vòng đời hỗ trợ nhưng vẫn đang kết nối trực tiếp ra Internet. Đây được xem là một trong những điểm yếu tiềm ẩn có thể bị tin tặc lợi dụng để triển khai các cuộc tấn công quy mô lớn.
1774344607716.png

Microsoft IIS là nền tảng máy chủ web phổ biến, được sử dụng rộng rãi trong các doanh nghiệp, tổ chức và hệ thống dịch vụ trực tuyến. Tuy nhiên, nhiều hệ thống hiện vẫn đang vận hành trên các phiên bản cũ đã ngừng được hỗ trợ kỹ thuật.

Hệ thống “lỗi thời” nhưng vẫn vận hành​

Việc một phần mềm bước vào trạng thái “End-of-Life” (EoL) đồng nghĩa với việc nhà phát triển không còn cung cấp bản vá bảo mật hay cập nhật mới. Điều này khiến các lỗ hổng tồn tại trong hệ thống không được khắc phục, tạo ra nguy cơ bị khai thác theo thời gian.

Theo các chuyên gia, không phải tất cả các máy chủ này đều đang bị tấn công, nhưng việc tồn tại công khai trên Internet khiến chúng trở thành mục tiêu dễ dàng bị dò quét và xâm nhập.​

Nguy cơ bị khai thác từ các lỗ hổng cũ​

Các phiên bản IIS chạy trên những hệ điều hành cũ như Windows Server 2008 hoặc 2012 từng ghi nhận nhiều lỗ hổng nghiêm trọng. Những lỗ hổng này có thể cho phép kẻ tấn công:​
  • Xâm nhập trái phép vào hệ thống​
  • Thực thi mã độc từ xa​
  • Chiếm quyền điều khiển máy chủ​
Điểm đáng lo ngại là các kỹ thuật khai thác những lỗ hổng này hiện đã được công khai trên Internet. Điều đó đồng nghĩa với việc ngay cả các nhóm tin tặc không quá tinh vi cũng có thể tận dụng để tấn công.​

Tấn công có thể diễn ra như thế nào?​

Thông thường, tin tặc sẽ sử dụng các công cụ quét tự động để tìm kiếm những máy chủ IIS đang chạy phiên bản cũ. Sau khi xác định mục tiêu, chúng sẽ đối chiếu với các lỗ hổng đã được công bố trước đó để tìm cách khai thác.
1774344638705.png

Nếu thành công, kẻ tấn công có thể âm thầm cài đặt các công cụ kiểm soát từ xa, từ đó theo dõi hoạt động của hệ thống hoặc sử dụng máy chủ bị xâm nhập làm bàn đạp cho các cuộc tấn công tiếp theo. Quá trình này có thể diễn ra nhanh chóng và khó bị phát hiện nếu hệ thống không được giám sát chặt chẽ.​

Hệ lụy không chỉ dừng ở một hệ thống​

Việc một máy chủ bị xâm nhập không chỉ ảnh hưởng riêng đến đơn vị vận hành, mà còn có thể kéo theo nhiều hệ lụy khác. Trong trường hợp xấu, kẻ tấn công có thể đánh cắp dữ liệu, chèn mã độc vào website hoặc sử dụng hệ thống bị kiểm soát để phát tán các cuộc tấn công tới người dùng khác. Điều này đặc biệt nguy hiểm nếu máy chủ thuộc về các lĩnh vực nhạy cảm như tài chính, dịch vụ công hoặc hạ tầng quan trọng.
1774344656456.png

Bên cạnh thiệt hại về tài chính, các sự cố an ninh mạng còn ảnh hưởng trực tiếp đến uy tín và niềm tin của khách hàng, đối tác.​

Vấn đề mang tính toàn cầu, không loại trừ Việt Nam​

Với số lượng máy chủ bị ảnh hưởng lên tới hàng trăm nghìn, đây không còn là vấn đề riêng lẻ mà mang tính toàn cầu. Các hệ thống IIS được sử dụng rộng rãi ở nhiều quốc gia, trong đó có Việt Nam.

Thực tế cho thấy, nhiều doanh nghiệp vẫn duy trì các hệ thống cũ do chi phí nâng cấp cao hoặc phụ thuộc vào phần mềm legacy. Tuy nhiên, việc kéo dài thời gian sử dụng các nền tảng lỗi thời cũng đồng nghĩa với việc chấp nhận rủi ro an ninh ngày càng lớn.​

Cần làm gì để giảm thiểu rủi ro?​

Các chuyên gia an ninh mạng khuyến cáo, việc nâng cấp hệ thống lên các phiên bản còn được hỗ trợ là giải pháp căn bản và hiệu quả nhất. Bên cạnh đó, doanh nghiệp cần lưu ý:​
  • Rà soát toàn bộ hệ thống để phát hiện các máy chủ đã hết hạn hỗ trợ​
  • Áp dụng đầy đủ các bản vá bảo mật mới nhất​
  • Hạn chế việc mở cổng dịch vụ không cần thiết ra Internet​
  • Tăng cường giám sát và phát hiện sớm các dấu hiệu bất thường​
Trong trường hợp chưa thể nâng cấp ngay, cần có các biện pháp tạm thời như cô lập hệ thống, kiểm soát truy cập và triển khai các lớp bảo vệ bổ sung.​

Bài học từ một nguy cơ “âm thầm”​

Sự tồn tại của hơn 500.000 máy chủ IIS hết hạn hỗ trợ là lời cảnh báo rõ ràng về những rủi ro tiềm ẩn trong việc vận hành hệ thống công nghệ thông tin.

Trong bối cảnh các cuộc tấn công mạng ngày càng gia tăng về quy mô và mức độ tinh vi, việc chủ động cập nhật, nâng cấp và bảo vệ hệ thống không chỉ là yêu cầu kỹ thuật, mà còn là yếu tố sống còn đối với mỗi tổ chức.

Bởi đôi khi, mối nguy lớn nhất không đến từ các cuộc tấn công phức tạp, mà từ chính những hệ thống đã “cũ” nhưng vẫn đang hoạt động mỗi ngày.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cảnh báo khẩn: Lỗ hổng Craft CMS bị khai thác, nguy cơ chiếm quyền website hàng loạt
  • NetScaler vá gấp hai lỗ hổng nghiêm trọng có thể bị khai thác từ xa
  • Hãy vá ngay loạt lỗ hổng Apple, Craft CMS, Laravel trước 3/4/2026
  • Chiến dịch DarkSword: Chỉ cần mở web iPhone có thể lập tức bị chiếm quyền
  • Lỗ hổng “PolyShell” đe dọa hàng loạt cửa hàng trực tuyến Magento
  • Lỗ hổng trong ScreenConnect có thể bị lợi dụng để chiếm quyền hệ thống
    • Thẻ
    511.000 internet information services microsoft iis
    Bên trên