IIS fuori supporto: 500.000 istanze su internet esposte agli attacchi informatici

Un recente tweet ha riportato alla luce un problema tanto vecchio quanto preoccupante: oltre 511 mila istanze di Microsoft IIS risultano oggi fuori dal ciclo di vita ufficiale, e più di 227 mila di queste hanno superato persino il periodo di Extended Security Updates.

Numeri che non rappresentano soltanto una statistica tecnica, ma un segnale concreto di quanto l’obsolescenza tecnologica sia ancora un problema strutturale nell’infrastruttura digitale globale.

L’obsolescenza del software non è un evento improvviso, ma un processo graduale e spesso invisibile. I sistemi vengono implementati, funzionano correttamente per anni e finiscono per diventare parte integrante dei processi aziendali. Proprio questa continuità operativa porta molte organizzazioni a rimandare aggiornamenti critici, trasformando nel tempo piattaforme solide in elementi fragili e vulnerabili.

Il caso dei server IIS evidenzia un fenomeno ben noto agli esperti di sicurezza: la stratificazione delle vulnerabilità. Ogni versione non aggiornata accumula nel tempo falle note, exploit pubblici e tecniche di attacco sempre più raffinate. Non si tratta più di singole vulnerabilità isolate, ma di veri e propri ecosistemi di rischio che si sovrappongono, rendendo questi sistemi bersagli estremamente appetibili per i malintenzionati. E poi su internet, il rischio non è davvero trascurabile.

Quando un software supera anche il periodo di supporto esteso, la situazione si aggrava ulteriormente. In questa fase, eventuali nuove vulnerabilità non vengono più corrette ufficialmente, lasciando le infrastrutture completamente esposte. Gli attaccanti, consapevoli di questa condizione, tendono a catalogare e monitorare questi sistemi, automatizzando scansioni e attacchi su larga scala.

Le conseguenze di questa mancata manutenzione non si limitano alla compromissione tecnica. Un server vulnerabile può diventare il punto di ingresso per attacchi più complessi, come ransomware, furti di dati o campagne di phishing su larga scala. In molti casi, una semplice mancata patch può trasformarsi in un incidente con impatti economici, reputazionali e legali significativi.

Un altro aspetto critico è la falsa percezione di sicurezza.

Molte organizzazioni ritengono che sistemi “stabili” siano automaticamente sicuri, ignorando il fatto che stabilità e sicurezza sono due concetti profondamente diversi. Un software può funzionare perfettamente dal punto di vista operativo e allo stesso tempo essere completamente esposto dal punto di vista della cybersecurity.

Il problema è soprattutto culturale.

L’aggiornamento delle infrastrutture viene spesso visto come un costo e non come un investimento. Ed infatti lo è. Tuttavia, il prezzo dell’inazione è quasi sempre superiore: intervenire dopo una violazione comporta costi molto più elevati rispetto alla prevenzione, senza contare i danni indiretti difficilmente quantificabili.

Di fronte a questi numeri, emerge la necessità di un cambio di paradigma. La gestione del ciclo di vita del software deve diventare una priorità di business e non una semplice attività tecnica. Monitoraggio continuo, aggiornamenti regolari e politiche di dismissione dei sistemi obsoleti sono oggi elementi fondamentali per ridurre il rischio e garantire la resilienza digitale.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research