Аналитики компании Censys обнаружили, что в с сети можно найти около 6 млн систем с доступным из интернета FTP-сервисом, почти половина из них не поддерживает шифрование. Протоколу уже более полувека, но с ним по-прежнему связаны 2,72% среди всех «видимых» в интернете систем.

По данным отчета исследователей, количество хостов с FTP, доступным извне, сократилось на 40% с 2024 года — с 10,1 млн до 5,94 млн.

Главной проблемой остается шифрование, а точнее — его отсутствие. У 2,45 млн из всех обнаруженных FTP-сервисов вообще не было зафиксировано никаких признаков TLS-хендшейка. Как поясняют специалисты, это не обязательно означает, что файлы и пароли передаются открытым текстом, однако признаков шифрования найти не удалось.

Среди этих 2,45 млн сервисов: 994 000 не поддерживают AUTH TLS на сканируемом порту, 813 000 запрашивают пароль до установки зашифрованного соединения, и более 170 000 вообще лишены поддержки Explicit TLS.

Больше всего FTP-хостов находятся в США — 1,2 млн. За ними следуют Китай (866 000), Германия (467 000), Гонконг (415 000), Япония (366 000) и Франция (343 000).

Среди провайдеров лидером оказался China Unicom (CHINA169) с 405 000 хостов, а далее идут Alibaba (227 000), OVH (177 000), Hetzner (138 000), KDDI Web Communications (127 000) и GoDaddy (126 000).

Самый популярный серверный софт — Pure-FTPd, на котором работают около 1,99 млн сервисов. Следом идут ProFTPD (812 000) и vsftpd (379 000), стандартный FTP-демон для большинства дистрибутивов Linux.

На IIS (Internet Information Services) компании Microsoft приходится 259 000 сервисов. Все экземпляры Windows Server с включенной FTP-ролью по умолчанию запускают именно IIS FTP, и для более чем 150 000 из них шифрование настроить забыли.

В Censys отмечают, что география, распределение по автономным системам и набор серверного ПО указывают на то, что большинство FTP-конфигураций в интернете — это побочный продукт дефолтных настроек массового хостинга и широкополосных подключений.

Эксперты рекомендуют организациям полностью отказаться от FTP или перейти на защищенные альтернативы — SFTP или FTPS, которые обеспечивают шифрование и совместимы с большинством клиентов. Подчеркивается, что в большинстве сценариев FTP можно заменить без серьезных проблем, а в других случаях включение Explicit TLS — это лишь вопрос настройки, а не смены протокола (Pure-FTPd и vsftpd поддерживают его нативно).