В Казахстане сокращается число публичных сервисов с устаревшим протоколом SSLv2

Национальная служба реагирования на компьютерные инциденты KZ-CERT провела анализ состояния SSL/TLS-конфигураций публично доступных сетевых сервисов в казахстанском сегменте сети интернет. Исследование основано на данных поисковой системы Shodan, отражающих результаты внешнего сканирования доступных из сети интернет-сервисов, поддерживаемых ими протоколов, цифровых сертификатов и используемых программных продуктов.

По состоянию на 2026 год по общему поисковому запросу Shodan было получено около 109 тысяч результатов, относящихся к публично доступным SSL/TLS-сервисам в Казахстане. В исследуемом срезе представлены как современные, так и устаревшие версии криптографических протоколов.

В частности, Shodan отображал:

— около 55,3 тысячи результатов с поддержкой TLS 1.0;
— около 45,2 тысячи результатов с поддержкой SSLv3;
— около 43,9 тысячи результатов с поддержкой SSLv2;
— около 33,7 тысячи результатов с поддержкой TLS 1.2;
— около 22,5 тысячи результатов с поддержкой TLS 1.3;
— около 11,9 тысячи результатов с поддержкой TLS 1.1.

Указанные значения не являются количеством уникальных устройств и не должны суммироваться. Один IP-адрес или сетевой сервис может одновременно поддерживать несколько версий SSL/TLS и учитываться сразу в нескольких категориях.

Основной риск связан с поддержкой SSLv2. Наиболее критичным результатом анализа остается наличие около 43,8-43,9 тысяч публично наблюдаемых сервисов с поддержкой SSLv2.

SSLv2 является устаревшим и небезопасным протоколом, не соответствующим современным требованиям информационной безопасности. Его поддержка может указывать на использование устаревшего программного обеспечения, старых прошивок, некорректных настроек либо оборудования, не поддерживающего современные криптографические механизмы.

Наличие SSLv2 также связано с риском атак на конфиденциальность защищенных соединений, включая атаки класса DROWN. В отдельных конфигурациях поддержка SSLv2 на одном сервисе может ослаблять безопасность TLS-соединений, использующих тот же криптографический материал.

Проблема преимущественно связана со встроенными веб-серверами. Анализ технологических признаков показал, что около 43,7 тысячи результатов с поддержкой SSLv2 связаны с GoAhead Embedded Web Server. Данный программный компонент применяется во встроенных веб-интерфейсах маршрутизаторов, GPON- и CPE-оборудования, камер видеонаблюдения, IoT-устройств и других embedded-систем.

Высокая концентрация SSLv2 в этом технологическом классе может свидетельствовать о наличии устаревших прошивок, оборудования с ограниченными возможностями обновления либо публично доступных административных интерфейсов. Такие интерфейсы могут использоваться злоумышленниками для внешней разведки, определения типа оборудования, поиска известных уязвимостей и попыток несанкционированного доступа.

Результаты ранее проведенной работы

В 2024 году KZ-CERT провел исследование публично доступных сервисов с поддержкой SSLv2, связанных со встроенными веб-серверами сетевого оборудования. По результатам мониторинга владельцам и ответственным за выявленные ресурсы направлялись адресные уведомления. Они содержали сведения о выявленных IP-адресах и сервисах, описание потенциальных рисков, а также рекомендации по отключению SSLv2, обновлению программного обеспечения и прошивок, ограничению публичного доступа к административным интерфейсам и повторной проверке ресурсов после выполнения необходимых мероприятий.

В исследуемой выборке 2024 года было выявлено более 115 тысяч уникальных IP-адресов, связанных с поддержкой SSLv2 и использованием GoAhead Embedded Web Server. В текущем анализе около 43,8 тысячи результатов с поддержкой SSLv2, из которых около 43,7 тысячи связаны с тем же технологическим классом.

Текущий показатель существенно ниже значения, зафиксированного в исследовании 2024 года. Наблюдаемая динамика может быть связана в том числе с проведенной KZ-CERT адресной работой и принятыми владельцами мерами, включая изменение конфигураций, обновление или замену оборудования, отключение устаревших протоколов и ограничение публичного доступа к интерфейсам управления.

Вместе с тем абсолютные значения нельзя напрямую использовать для определения точного количества устраненных нарушений. В исследованиях применялись разные поисковые срезы и единицы учета: в одном случае учитывались уникальные IP-адреса, в другом, результаты, отображаемые Shodan. На показатели также могут влиять повторное сканирование, изменение конфигураций, отключение оборудования, перераспределение IP-адресов и изменение доступности сервисов.

Таким образом, текущие результаты указывают на положительную динамику в наблюдаемой публичной инфраструктуре, однако не позволяют связывать все зафиксированное снижение исключительно с проведенной адресной работой.

Устаревшие версии TLS также требуют внимания

Помимо SSLv2 и SSLv3, в публичной инфраструктуре сохраняется значительное количество сервисов с поддержкой TLS 1.0 и TLS 1.1. Эти версии протокола являются устаревшими и не рекомендуются для использования в современных публичных информационных системах. Владельцам ресурсов необходимо проверить наличие зависимых клиентских систем и организовать переход на TLS 1.2 или TLS 1.3. TLS 1.2 следует рассматривать как минимально допустимую версию для публично доступных сервисов, а TLS 1.3, как предпочтительную целевую конфигурацию.

Выявлены сервисы с просроченными сертификатами

Дополнительно в казахстанском сегменте сети интернет наблюдалось около 9,5 тысяч результатов с признаком просроченного SSL/TLS-сертификата.

Просроченный сертификат не равнозначен по уровню риска поддержке SSLv2 или SSLv3. Однако он может препятствовать корректной проверке подлинности сервиса, вызывать ошибки доверия у пользователей и программных систем, а также указывать на недостаточный контроль жизненного цикла сертификатов.

Владельцам ресурсов рекомендуется внедрять централизованный учет сертификатов, автоматическое продление и заблаговременное уведомление об окончании срока их действия.

KZ-CERT рекомендует владельцам информационных ресурсов, операторам связи и хостинг-провайдерам:

— отключить SSLv2 и SSLv3 на всех публично доступных сервисах;
— вывести из эксплуатации TLS 1.0 и TLS 1.1;
— использовать TLS 1.2 и TLS 1.3;
— исключить слабые и устаревшие наборы шифров;
— проверить актуальность программного обеспечения и прошивок;
— провести инвентаризацию устройств со встроенными веб-серверами;
— ограничить доступ к административным интерфейсам с использованием VPN, ACL и межсетевых экранов;
— исключить прямую публикацию интерфейсов управления в сети интернет без обоснованной необходимости;
— заменить просроченные сертификаты;
— внедрить автоматизированный контроль сроков действия сертификатов;
— провести повторную проверку сервисов после изменения конфигурации.

Если используемое оборудование не позволяет отключить устаревшие протоколы, необходимо обновить прошивку, ограничить сетевой доступ, разместить сервис за защищенным шлюзом либо рассмотреть замену оборудования.

KZ-CERT продолжит мониторинг публичной инфраструктуры казахстанского сегмента сети интернет и направление адресных уведомлений владельцам и ответственным за выявленные ресурсы. Получение уведомления не означает, что информационный ресурс был скомпрометирован или использован злоумышленниками. Оно указывает на необходимость проверить актуальную конфигурацию соответствующего сервиса и принять меры по снижению потенциальных рисков.

Напомним — 20 ноября 2026 г. в Алматы пройдет конференция PROFIT Security Day, посвященная информационной безопасности для бизнеса.