微软易受攻击软件仍在应用中 涉及超200万台Web服务器

Cyber News 研究人员发现,全球仍有超过200万台Web服务器仍在运行过时且易受攻击的Microsoft Internet Information Services软件版本。Microsoft不再支持这些旧版本,这使得数百万个Web服务器很容易成为威胁参与者和网络犯罪分子的目标。

Microsoft Internet Information Services (IIS)拥有12.4%的市场份额,是第三受欢迎的 Web服务器软件套件,用于为全球至少5160万个网站和Web应用程序提供支持。在安全性方面,大多数运行最新版本IIS的Web服务器通常都处于良好状态。

但是,并非所有版本的IIS都是一样的。

虽然Microsoft通过发布安全更新和漏洞修补程序来保持较新版本相对安全,但该公司不再支持7.5及以下的旧IIS版本。与其他类型的过时服务器软件一样,Microsoft IIS的所有旧版本都存在许多严重的安全漏洞。

这意味着在不受支持的IIS版本上运行的任何网站都可能成为网络犯罪分子有利可图的目标,让他们能够轻松渗透此类网站,向其中注入危险的恶意软件,并窃取访问者的数据,包括登录和支付信息。

Cyber News 对网上存在的Web服务器仍由已停产的Microsoft IIS版本提供支持情况进行调查。在调查前,研究人员确定了Microsoft 已停止使用的 IIS 的五个不同版本和子版本,并将它们与与这些版本相关的已知常见漏洞和暴露 (CVE) 进行匹配,同时在调查期间过滤了蜜罐。

200万台Microsoft IIS服务器容易受到威胁参与者的攻击

1.png

易受攻击的 IIS 服务器在线

在调查中发现,全球有7,335,868个运行旧版IIS的潜在易受攻击的Web服务器。

虽然这些服务器中有72%是被研究人员和安全团队用作诱饵的蜜罐,但实际仍有200万个实际运行在微软不再支持的危险软件上。

根据Cyber News安全研究员的说法,由于承载公共网站的网络服务器必须是公开可访问的,所以它们也在向所有人播放过时的IIS版本。

“这意味着,在明显易受攻击的软件上运行这些服务器,等于向威胁行为者发出了渗透其网络的邀请。”

DevelopIntelligence 的网络安全讲师认为,开放如此多的易受攻击的Web服务器使得威胁参与者进行侦察变得非常容易。意识到web服务器的漏洞后,威胁行动者可以迅速收集数据,找出攻击目标的最佳方式。

易受攻击的IIS网络服务器位置分布

2.png

易受攻击的服务器位置

调查显示,中国大陆是最易受攻击的服务器位置,有679941个暴露的实例运行IIS的旧版本。美国紧随其后,有581708台未受保护的服务器位于美国。

中国香港有203,786台易受攻击的IIS服务器,排在第三位,而韩国和德国分列前五,分别有54,981台和43,857台服务器。

根据ThreatX首席技术官的说法,由于它比Linux服务器更容易安装,并且存在软件盗版情况,因此维护程度不高,并且未及时进行升级处理。

最易受攻击的IIS版本

3.png

最易受攻击的 Microsoft IIS 版本

实际上,每个遗留版本的Microsoft IIS都容易受到至少5个已知漏洞的影响,其中大多数是严重的,相对容易被有经验的威胁参与者利用。

然而,根据itsecdb.com的数据,7.0版是微软IIS最脆弱的版本,有17个已知的漏洞。目前确定的有47620个在这个版本的IIS上运行的遗留web服务器。

140万台易受攻击的服务器运行IIS 7.5

4.png

易受攻击的服务器排名靠前的 IIS 版本

另一方面,在2020年1月14日被微软停止的7.5版本,似乎是目前最流行的由脆弱服务器运行的微软IIS版本,在数量级上使其他服务器相形见绌,在web上总共有1376,216个实例。

6.0版本相对落后,有167,870个易受攻击的web服务器,其中大部分位于中国。7.0版本是最容易受到攻击的版本,位居第三,有47620台暴露在外的服务器,其中47%位于美国。

IIS 7.5版本的流行可能是因为它最近才停止使用。oak9的安全工程师表示,升级到最新版本的软件需要时间和金钱,并不是每个人都愿意在某个版本使用结束时承担过渡的成本。打补丁需要花费时间来规划和测试补丁,还需要花钱,并且可能导致需要开发更改的应用程序行为更改。”“如果不清楚未打补丁软件的风险,许多开发人员就会认定打补丁的成本大于收益。”

一直保持软件更新很麻烦

对于有网络安全意识的人来说,更新软件并非一件难事,但对于身负多个职责的Web开发人员来说,维护软件很可能在他们优先级列表中排名较低的位置。开发人员更多专注于新功能,而非现有应用程序及其维护。

但其实维护软件安全,是提前为公司在未来获得更多收入做好铺垫。不难想象,当公司因为软件安全漏洞遭到网络攻击时,将会多么狼狈。

因此维护软件安全应是团队首要处理的一部分,开发人员应和系统安全人员携手合作。

保护网络安全本身应该是整个团队的协作,开发人员不能只管把代码扔给安全团队,然后指望他们解决剩下的问题。对于网络开发人员来说,要有一份软件材料清单,清晰了解都在用什么,有哪些依赖项和代码库,随着时间推移有哪些需要修复的安全漏洞。

同时,安全应该置入应用程序的完整生命周期当中,包括IT管理、应用程序补丁,利用静态代码检测工具实行编码修复,查找安全漏洞等,从一开始就将安全问题考虑到开发成本、预算和财务开销当中。

参读链接:

cybernews.com/security/mi…

评论