FTP, один із найстаріших інтернет-протоколів, якому понад пів століття, досі активно використовується для обміну файлами. Нове дослідження компанії Censys показує, що в публічному доступі знаходиться близько 6 мільйонів систем з увімкненими FTP-сервісами, і майже половина з них не демонструє жодних ознак шифрування. Для бізнесу це означає пряму загрозу витоку конфіденційної інформації та компрометації облікових записів.
Масштаб проблеми: статистика відкритих FTP-серверів
За даними Censys, FTP-служби виявлено приблизно у 2,72% усіх «видимих» в інтернеті систем. Попри те, що кількість таких хостів з 2024 року вже скоротилася близько на 40% — з 10,1 млн до 5,94 млн, залишковий обсяг залишається критично значущим. Часто саме на цих FTP-серверах зберігаються або передаються комерційні документи, персональні дані, технічні бекапи та інша чутлива інформація.
Ключова проблема полягає в тому, що значна частина цієї інфраструктури працює без сучасних механізмів захисту. На 2,45 млн FTP-сервісів під час сканування не було зафіксовано жодного TLS-handshake, що з великою ймовірністю означає відсутність шифрування трафіку. У такій конфігурації вміст файлів, логіни й паролі можуть передаватися мережею відкритим текстом.
Де саме «ламається» безпека FTP
Відсутність TLS і небезпечні сценарії автентифікації
Серед потенційно незашифрованих FTP-служб дослідники виділяють кілька особливо ризикових категорій. Близько 994 000 сервісів взагалі не підтримують команду AUTH TLS на сканованому порту, тобто формально не здатні встановити FTPS-з’єднання поверх TLS. Ще 813 000 серверів запитують пароль до початку захищеного обміну, що робить облікові дані легкою здобиччю для атак на кшталт Man-in-the-Middle.
Окремо виділяють понад 170 000 хостів, повністю позбавлених підтримки Explicit TLS. Навіть якщо клієнтський софт намагається ініціювати шифрування, сервер просто не здатний перейти в безпечний режим. З погляду комплаєнсу це прямо суперечить вимогам до захисту даних, які закріплені в таких стандартах, як PCI DSS, а також у регуляторних актах на кшталт GDPR або галузевих норм у фінансовому та медичному секторах.
У результаті будь-який зловмисник, який має можливість перехоплювати трафік між клієнтом і сервером (на рівні мережі підприємства, провайдера чи точок Wi‑Fi), може читати файли, реєстраційні дані та згодом використовувати їх для подальшої ескалації доступу.
Географія та провайдери ризикованих FTP-служб
Найбільша кількість відкритих FTP-хостів спостерігається у США — близько 1,2 млн. Далі за кількістю йдуть:
— Китай — 866 000 хостів;
— Німеччина — 467 000;
— Гонконг — 415 000;
— Японія — 366 000;
— Франція — 343 000.
Якщо дивитися на автономні системи та великих провайдерів, лідирує China Unicom (CHINA169) із приблизно 405 000 FTP-хостів. Далі йдуть Alibaba (227 000), OVH (177 000), Hetzner (138 000), KDDI Web Communications (127 000) та GoDaddy (126 000). Таке розподілення свідчить, що проблемні FTP-конфігурації переважно виникають у середовищі масового хостингу та широкосмугового доступу, де сервіси часто розгортаються «за замовчуванням» і потім роками не переглядаються.
ПЗ FTP-серверів і ризики налаштувань «за замовчуванням»
Найпоширенішим серверним ПЗ для FTP залишається Pure-FTPd, на ньому працює близько 1,99 млн сервісів. Далі йдуть ProFTPD (812 000) і vsftpd (379 000), які широко використовуються в Linux-інфраструктурі. Сучасні версії цих рішень підтримують FTPS і жорсткі політики шифрування, однак багато інсталяцій залишаються з мінімальними або застарілими налаштуваннями.
Окрема зона ризику — Microsoft IIS FTP. На цю платформу припадає приблизно 259 000 FTP-служб, і більш ніж у 150 000 випадків шифрування взагалі не ввімкнено. Оскільки роль FTP у Windows Server часто активують одним кліком під час розгортання, адміністратори нерідко залишають дефолтні параметри. Для зловмисника це означає просту ціль із прогнозованою конфігурацією та відсутністю базових засобів захисту.
Сукупний аналіз географії, провайдерів і ПЗ вказує: значна частина небезпечних FTP-серверів — це «спадкова» інфраструктура та сервіси, увімкнені за замовчуванням, а не свідомий вибір архітектури.
Чим замінити FTP і як знизити ризики для бізнесу
З точки зору сучасної кібербезпеки, класичний незашифрований FTP не повинен використовуватися ні у внутрішніх мережах, ні тим паче в інтернеті. Рекомендована стратегія включає кілька кроків. По-перше, максимальний перехід на SFTP (як частину SSH) або FTPS (FTP поверх TLS). Обидва варіанти забезпечують шифрування, підтримують сучасні алгоритми та добре інтегруються з популярними клієнтами, бібліотеками й автоматизованими пайплайнами.
По-друге, там, де повна відмова від FTP наразі неможлива, слід обов’язково активувати Explicit TLS і зробити шифрування обов’язковою умовою для всіх користувачів. Більшість FTP-серверів (зокрема Pure-FTPd і vsftpd) дозволяють це реалізувати без міграції на інше програмне забезпечення — потрібна лише коректна конфігурація.
По-третє, доцільно впровадити регулярний аудит відкритих портів і сервісів із використанням зовнішніх сканерів, таких як Censys або Shodan, щоб виявляти «забуті» FTP-інсталяції. Доповнюють картину політики мінімально необхідного доступу: обмеження за IP, використання VPN, багатофакторна автентифікація, журналювання дій користувачів та аналіз логів.
На тлі мільйонів незахищених FTP-серверів, виявлених в інтернеті, організаціям варто проактивно переглянути власну файлову інфраструктуру. Вимкнення застарілих служб, перехід на SFTP чи FTPS, регулярний моніторинг поверхні атаки та контроль налаштувань «за замовчуванням» суттєво знижують ризик витоку даних і допомагають відповідати сучасним вимогам кібербезпеки. Найкращий момент, щоб відмовитися від незашифрованого FTP, — саме зараз, поки ця слабка ланка не стала відправною точкою для реальної атаки.
