セキュリティ研究者らが、古くなったMicrosoft Internet Information Services (IIS)サーバーに関わる大規模なグローバルセキュリティリスクを発見しました。
Shadowserver Foundationからの新しい調査結果によると、現在511,000以上のインターネット公開型IISインスタンスが、サポート終了(EOL)に達したバージョンで動作しており、組織に深刻なサイバー脅威をもたらしています。
この問題の規模は特に懸念されています。特定された511,000のEOL IISサーバーのうち、227,000以上がMicrosoftの拡張セキュリティ更新プログラム(ESU)の範囲を超えています。
これらのシステムは現在、サポート終了(EOS)状態にあり、有料無料を問わずセキュリティパッチを受け取ることができなくなっています。その結果、これらのサーバーは新しく発見された脆弱性に対して事実上無防備になっています。
Shadowserverの継続的なインターネットスキャンは、問題がいかに広がっているかを明らかにしています。
これらの古いサーバーは依然としてインターネットに積極的に公開されており、グローバルな攻撃面を大幅に増加させています。
これらの脆弱な配置の大多数は中国とアメリカに集中していますが、影響を受けるシステムは世界中に分散しています。
可視性を向上させ、防御者を支援するため、Shadowserverは脆弱なHTTPレポートシステムを更新しました。
これらのレポートを受け取るネットワーク管理者は、「eol-iis」や「eos-iis」などの特定のタグが表示されるようになり、サーバーが古いのか、完全にサポートされていないのかが明確に示されます。
このタグ付けシステムは、組織が高リスクアセットを素早く特定し、修復を優先付けするのに役立つよう設計されています。
EOL IISサーバーを実行することのセキュリティ上の影響は深刻です。サポートされていないシステムは新しく発見された脆弱性のパッチを受け取らないため、脅威行為者の格好の的になります。
攻撃者はしばしばインターネットをスキャンしてそのようなシステムを探し、既知の欠陥を悪用したり、ランサムウェアを配備したり、企業ネットワークへの初期アクセスを獲得したりします。
IISは一般的にフロントエンドのウェブサーバーとして機能するため、侵害に成功すると、攻撃者は内部インフラへの直接的な経路を得ることができます。
サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)を含む政府機関は、特にインターネット公開型システムに対して、サポートされていないソフトウェアの継続的な使用に対して繰り返し警告しています。これらのシステムは、侵害されたアクセスを他の脅威行為者に売却する初期アクセスブローカーによって頻繁に悪用され、リスクをさらに増幅させています。
この増加する問題に対処するため、組織は直ちに行動を起こす必要があります。最初のステップは、環境内のすべてのIISインスタンスを特定し、そのサポート状態を判断することです。
管理者は、Microsoftの公式ライフサイクルドキュメントを参照して、展開がまだサポートされているかどうかを確認する必要があります。
古いシステムが特定された場合、組織はサービスをサポートされているバージョンのIISまたは他の最新ウェブサーバープラットフォームへの移行を優先付けする必要があります。
移行が実現不可能な場合、システムはインターネットから隔離されるか、削減されるべきです。
Shadowserverはまた、ネットワークオペレータおよび国家コンピュータ緊急対応チーム(CERTs)にスキャンデータを利用可能にし、調整された修復の取り組みを可能にしています。さらに、そのライブダッシュボードはEOLおよびEOSシステムの分布についてのリアルタイムの可視性を提供し、セキュリティチームがリスクをより効果的に追跡および対応するのを支援します。
511,000以上の公開されたEOL IISサーバーの発見は、サイバーセキュリティにおける継続的な課題を浮き彫りにしています:レガシーシステム管理です。
タイムリーなアップグレードと適切なアセット可視性がなければ、組織は重要なインフラストラクチャを悪用に対して開いたままにするリスクがあります。
グローバルな攻撃面を減らし、潜在的な大規模なサイバーインシデントを防ぐには、直ちに修復することが重要です。
翻訳元: https://cyberpress.org/over-511000-end-of-life-microsoft-iis-servers-exposed-online/