根据 Censys 安全研究员 Himaja Motheram 最近于 2026 年 4 月发布的一份报告,近 600 万台面向互联网的主机仍在运行文件传输协议 (FTP)。
虽然这标志着与 2024 年观察到的 1010 万台服务器相比大幅下降了 40%,但由于普遍存在不安全的默认配置,这一已有数十年历史的协议的存在继续构成暴露风险。
Censys 报告强调,2026 年 FTP 曝光的主要内容不是专门构建的文件传输基础设施,而是共享托管网络和宽带提供商平台默认值的累积。
加密现状和区域风险
当谈到保护这些服务器时,数据显示出复杂的情况。 Censys 发现,大约 58.9% 的观察到的 FTP 主机完成了传输层安全 (TLS) 握手,这意味着它们支持加密连接。
然而,这使得大约 245 万台主机没有观察到加密证据,这可能允许它们以明文形式传输文件和凭证。
加密采用的缺乏因地区而异。根据 Censys 的数据,在前 10 个托管国家/地区中,中国大陆和韩国的 TLS 采用率最低,分别为 17.9% 和 14.5%。
与此同时,日本占全球所有 FTP 服务器的 71%,这些服务器仍然依赖过时的、已弃用的传统加密协议,例如 TLS 1.0 和 1.1。
这 600 万台服务器的安全状况很大程度上受到运行它们的软件守护程序的默认设置的影响。
Censys 报告的主要技术观察包括:
• Pure-FTPd 主导地位:运行在大约 199 万个服务上,这是最常见的 FTP 守护进程,很大程度上是由于它被默认包含在 cPanel 托管环境中。
• IIS FTP 配置陷阱:超过 150,000 个Microsoft IIS FTP 服务返回“534”错误响应,表明从未配置过 TLS。
虽然 IIS 默认采用的策略似乎需要加密,但它在全新安装时不会绑定安全证书。
因此,服务器接受明文凭据,即使配置似乎强制执行 TLS。
• 隐藏的非标准端口:仅依靠端口 21 扫描会错过攻击面的很大一部分。
数以万计的 FTP 服务在备用端口(例如 10397 或 2121)上运行,这些端口通常与特定的电信运营或网络连接存储设备绑定。
缓解和强化策略
对于企业防御者和基础设施管理员,Censys 强烈建议在尝试强化 FTP 之前先评估 FTP 是否真的有必要。
组织应考虑以下缓解策略:
• 迁移到安全替代方案:只要有可能,请将 FTP 替换为 SSH 文件传输协议 (SFTP),该协议默认通过端口 22 加密凭据和数据。
• 强制执行显式 TLS:如果旧版 FTP 基础设施必须保持在线状态,管理员应配置其守护程序以强制执行显式 TLS (FTPS) 并拒绝明文连接。
• 修复 IIS 证书绑定:使用 IIS FTP 的 Windows Server 管理员必须确保将有效证书绑定到 FTP 站点,并验证 SSL 策略是否主动强制执行加密。
最终,虽然互联网对 FTP 的依赖正在慢慢减少,但数百万个实例仍然在后台安静地运行。
正如 Censys 警告的那样,主要风险不是高级的零日攻击,而是更新默认配置的简单失败,导致系统不必要地暴露。
翻译自:cybersecuritynews
领取优惠
提交成功!