Báo Động: Hơn 511.000 Máy Chủ IIS EOL Phơi Nhiễm Nguy Hiểm

Hơn 511.000 phiên bản Microsoft Internet Information Services (IIS) đã kết thúc vòng đời (End-of-Life – EOL) đang hoạt động và kết nối với internet, tạo ra một mối đe dọa mạng nghiêm trọng trên phạm vi toàn cầu. Phát hiện này được ghi nhận trong các đợt quét mạng hàng ngày của Shadowserver vào ngày 23 tháng 3 năm 2026. Tình trạng phơi nhiễm diện rộng này đặt ra một rủi ro bảo mật đáng kể cho các tổ chức, bởi các máy chủ lỗi thời này không còn nhận được các bản vá bảo mật tiêu chuẩn.

Các đối tượng tấn công thường xuyên quét internet để tìm kiếm hạ tầng chưa được vá lỗi. Mục tiêu của chúng là khai thác các lỗ hổng đã biết, triển khai mã độc, hoặc thiết lập quyền truy cập ban đầu vào mạng lưới doanh nghiệp. Điều này biến các máy chủ IIS EOL trở thành mục tiêu hấp dẫn.

Phơi Nhiễm Máy Chủ IIS EOL và EOS: Dữ Liệu Từ Shadowserver

Dữ liệu thô do Shadowserver chia sẻ cho thấy một bức tranh đáng lo ngại về tình trạng vệ sinh hạ tầng internet toàn cầu. Trong số 511.000 phiên bản EOL được phơi nhiễm, có hơn 227.000 phiên bản đã hoàn thành toàn bộ thời gian Hỗ trợ Bảo mật Mở rộng (Extended Security Updates – ESU) của Microsoft. Điều này có nghĩa là gần một nửa số máy chủ này đã chuyển sang trạng thái End-of-Support (EOS) và sẽ không bao giờ nhận được các bản sửa lỗi bảo mật quan trọng, ngay cả khi các tổ chức chấp nhận trả phí cho gói hỗ trợ mở rộng. Để hiểu rõ hơn về chính sách ESU, tham khảo thông tin từ Cybersecurity News về việc Microsoft ngừng hỗ trợ Windows Server 2016 và Windows 10 2016.

Để hỗ trợ các đội ngũ bảo mật theo dõi những trường hợp phơi nhiễm này, Shadowserver hiện đã chính thức gắn thẻ các máy chủ dễ bị tấn công là ‘eol-iis’ và ‘eos-iis’ trong các báo cáo HTTP dễ bị tấn công hàng ngày của mình. Thông tin chi tiết về việc gắn thẻ này có thể tìm thấy trên tài khoản X của Shadowserver. Các quản trị viên mạng có thể truy cập dữ liệu IP thô này, được lọc theo cấu trúc mạng cụ thể của họ, để xác định các tài sản bị phơi nhiễm trong môi trường của mình.

Rủi Ro Bảo Mật Nghiêm Trọng Từ Máy Chủ EOL/EOS

Vận hành các máy chủ web EOL và EOS làm tăng đáng kể khả năng tổ chức bị ảnh hưởng bởi các cuộc tấn công mạng. Khi phần mềm đạt đến giai đoạn cuối vòng đời, nhà cung cấp chính thức ngừng giám sát nó để tìm kiếm các lỗ hổng bảo mật. Điều này đồng nghĩa với việc không có thêm bản vá bảo mật nào được phát hành cho bất kỳ lỗ hổng nào được phát hiện sau đó.

Nếu một lỗ hổng zero-day mới được phát hiện trong một phiên bản IIS lỗi thời, Microsoft sẽ không phát hành bản vá công khai để khắc phục. Các đối tượng đe dọa hiểu rõ động thái này và tích cực xây dựng các công cụ tự động để phát hiện và khai thác các hệ thống kế thừa cụ thể này. Đây là một mối đe dọa mạng tiềm ẩn lớn mà các tổ chức cần đặc biệt lưu ý.

Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) liên tục cảnh báo về những rủi ro nghiêm trọng liên quan đến các thiết bị biên hết hạn hỗ trợ. CISA đã nhiều lần nhấn mạnh tầm quan trọng của việc thay thế các thiết bị mạng đã hết vòng đời để giảm thiểu rủi ro bảo mật. Xem thêm cảnh báo của CISA tại CISA Alerts.

Hậu Quả Của Việc Xâm Nhập Hệ Thống EOL IIS

Các máy chủ web bị phơi nhiễm thường đóng vai trò là điểm đặt chân hoàn hảo cho các nhóm khai thác mã độc tống tiền (ransomware) và các nhóm đe dọa dai dẳng nâng cao (Advanced Persistent Threat – APT). Một khi kẻ tấn công xâm nhập thành công một máy chủ IIS hướng ra internet, chúng có thể dễ dàng di chuyển ngang vào mạng nội bộ, đánh cắp dữ liệu nhạy cảm, hoặc triển khai các tải trọng độc hại trên toàn bộ hạ tầng.

Việc chiếm quyền điều khiển một máy chủ web EOL có thể mở ra cánh cửa cho kẻ tấn công để thực hiện các cuộc tấn công leo thang đặc quyền, hoặc thậm chí là remote code execution (thực thi mã từ xa), gây ra thiệt hại nghiêm trọng cho hệ thống. Đây là một mối đe dọa mạng nghiêm trọng cần được ưu tiên xử lý.

Chiến Lược Giảm Thiểu Mối Đe Dọa

Các tổ chức phải ưu tiên xác định và bảo mật hạ tầng hướng ra internet của mình để ngăn chặn việc khai thác ngay lập tức. Đây là bước quan trọng nhất để chống lại mối đe dọa mạng từ các hệ thống lỗi thời.

Các đội ngũ bảo mật nên thực hiện các bước quan trọng sau để giảm bề mặt tấn công một cách hiệu quả:

• Kiểm kê Tài sản Định kỳ: Thực hiện kiểm tra định kỳ để xác định tất cả các máy chủ web và dịch vụ hướng ra internet. Xác định rõ phiên bản phần mềm và trạng thái hỗ trợ của chúng.
• Nâng Cấp Hệ Thống: Lên kế hoạch và thực hiện nâng cấp các phiên bản IIS EOL và EOS lên các phiên bản được hỗ trợ. Đây là giải pháp triệt để nhất để đảm bảo nhận được bản vá bảo mật liên tục.
• Cô Lập Mạng: Nếu việc nâng cấp ngay lập tức không khả thi, hãy cô lập các máy chủ EOL/EOS trong các phân đoạn mạng riêng biệt. Giới hạn quyền truy cập và giám sát chặt chẽ mọi lưu lượng ra vào.
• Giám Sát Liên Tục: Triển khai các giải pháp giám sát an ninh mạng (IDS/IPS, SIEM) để phát hiện bất kỳ hoạt động đáng ngờ nào liên quan đến các máy chủ này.
• Áp Dụng Nguyên Tắc Đặc Quyền Tối Thiểu: Đảm bảo rằng các dịch vụ chạy trên IIS chỉ có các quyền cần thiết để hoạt động.
• Sao Lưu Dữ Liệu: Duy trì các bản sao lưu dữ liệu quan trọng một cách thường xuyên và an toàn để có thể phục hồi hệ thống trong trường hợp bị tấn công.

Chủ động quản lý và cập nhật hạ tầng là yếu tố then chốt để bảo vệ tổ chức khỏi những rủi ro bảo mật không đáng có. Bất kỳ sự chậm trễ nào trong việc loại bỏ hoặc bảo vệ các hệ thống EOL/EOS cũng đều làm tăng thêm mối đe dọa mạng và tiềm năng bị tấn công. Việc đảm bảo an toàn thông tin đòi hỏi một chiến lược bảo mật toàn diện và liên tục.