Cyber News的一項(xiàng)調(diào)查研究顯示��,全球多所頂尖高校的網(wǎng)站未能及時(shí)更新安全補(bǔ)丁�����,存在敏感信息泄露,甚至被攻擊者全面接管的風(fēng)險(xiǎn)�。
Cyber News 研究團(tuán)隊(duì)詳細(xì)調(diào)查了 20 個(gè)每月有數(shù)百萬(wàn)訪問量的高校網(wǎng)站,其中至少有6個(gè)是位于全球Top 100的頂尖高校���。研究人員表示�,針對(duì)大學(xué)的攻擊歷來(lái)非常常見�,包括了從學(xué)生試圖取消課程發(fā)起的 DDoS 攻擊到全面的勒索軟件攻擊。
安全級(jí)別不一定與高校的規(guī)?;蛑匾韵嚓P(guān),因?yàn)橐?guī)模較小和較大的高校都表現(xiàn)出類似的漏洞�。雖然調(diào)查結(jié)果不包括任何未受保護(hù)的數(shù)據(jù)庫(kù)或一年多前的漏洞,但一些高校遲遲沒有應(yīng)用安全更新�����。研究人員還發(fā)現(xiàn)了幾個(gè)關(guān)鍵漏洞和非常敏感的憑證被泄露�����。
(資料圖片)
研究發(fā)現(xiàn)�����,由于暴露的環(huán)境文件 (.env) 或遠(yuǎn)程代碼執(zhí)行 (RCE) 漏洞����,UTEL大學(xué)(墨西哥)、臺(tái)灣大學(xué)�����、瓦爾登大學(xué)�、西印度群島大學(xué)(牙買加)、加州大學(xué)圣地亞哥分校泄露的信息可能導(dǎo)致網(wǎng)站被完全接管�����。
加州大學(xué)圣地亞哥分校的網(wǎng)站留下了數(shù)據(jù)庫(kù)憑據(jù)���、Cloudflare 憑據(jù)��、WordPress 憑據(jù)和電子郵件憑據(jù)可供獲取��。攻擊者可以利用這些來(lái)接管網(wǎng)站�����、重定向到惡意服務(wù)器�、從官方通信渠道進(jìn)行網(wǎng)絡(luò)釣魚以及訪問用戶信息。
臺(tái)灣大學(xué) (NTU) 的網(wǎng)站泄露了 JSON Web Token 機(jī)密����、數(shù)據(jù)庫(kù)憑據(jù)和帶有用戶名的 git URL。這些都可能使攻擊者能夠劫持帳戶并獲得管理員訪問權(quán)限�。
瓦爾登大學(xué)和西印度群島大學(xué)這兩所規(guī)模較小的大學(xué)的網(wǎng)站容易受到遠(yuǎn)程代碼執(zhí)行的攻擊,從而可能導(dǎo)致網(wǎng)站被接管����。
研究還發(fā)現(xiàn)另外8所高校:匹茲堡大學(xué)、不列顛哥倫比亞大學(xué)����、安第斯大學(xué)(哥倫比亞)、自由大學(xué)�����、舊道明大學(xué)����、范德比爾特大學(xué)�����、新罕布什爾大學(xué)泄露的憑證或漏洞利用可以獲取學(xué)生和教師的私人信息。
研究人員指出�,他們的研究范圍并不詳盡,這也意味著所發(fā)現(xiàn)的漏洞和錯(cuò)誤配置能夠被初級(jí)網(wǎng)絡(luò)攻擊者利用����。為了進(jìn)行更詳細(xì)的分析,需要進(jìn)行更深入的滲透測(cè)試�����。
不應(yīng)被公開的環(huán)境文件
環(huán)境文件不應(yīng)讓外部人員訪問�����,因?yàn)檫@些文件是配置文件���,通常包含 Web 應(yīng)用程序使用的部分或全部第三方服務(wù)����、數(shù)據(jù)庫(kù)和 API 憑證���。攻擊者可能會(huì)使用暴露的憑證來(lái)訪問私有數(shù)據(jù)庫(kù)并濫用 API 函數(shù)�����。在某些情況下���,泄露的憑證可能會(huì)導(dǎo)致整個(gè)網(wǎng)站遭到入侵�。此外����,Git 存儲(chǔ)庫(kù)配置文件的憑證在受損時(shí)(允許攻擊者下載和檢查網(wǎng)站的源代碼)應(yīng)該重置。
而RCE 漏洞����,例如 WSO2 Web 服務(wù)器 RCE 漏洞 (CVE-2022-29464) 和 Microsoft Exchange RCE 漏洞 (CVE-2023-21529)需要手動(dòng)或自動(dòng)修補(bǔ),或更新 Microsoft Exchange 服務(wù)器��。
研究人員發(fā)現(xiàn)��,瓦爾登大學(xué)和西印度群島大學(xué)正在運(yùn)行易受攻擊的 WSO2 Web 服務(wù)器版本����,且這些服務(wù)器在一年多的時(shí)間內(nèi)沒有更新。其他大學(xué),如范德比爾特大學(xué)����、新罕布什爾大學(xué)和舊道明尼恩大學(xué)則延遲了一個(gè)多月才修補(bǔ)其 Microsoft Exchange 服務(wù)器的 RCE 漏洞。
關(guān)于泄露的憑證����,研究發(fā)現(xiàn)����,有兩所高校使用了給定軟件的默認(rèn)憑證,5所大學(xué)使用了弱密碼����,反映出這些高校在安全實(shí)踐上的不足,并暗示了用于其他應(yīng)用程序的憑證也可能同樣使用了弱密碼�。
來(lái)自部分高校的回應(yīng)
Cybernews 聯(lián)系了研究中提到的所有大學(xué)。波特蘭州立大學(xué)在接到報(bào)告后解決了相應(yīng)的漏洞問題���。
匹茲堡大學(xué)回應(yīng)稱����,確保數(shù)據(jù)安全對(duì)學(xué)校至關(guān)重要��,信息安全團(tuán)隊(duì)在收到通知后立即采取措施修復(fù)了漏洞。
瓦爾登大學(xué)則稱他們沒有任何數(shù)據(jù)泄露或曝光���,并表示自己擁有強(qiáng)大的監(jiān)控系統(tǒng)��,致力于保護(hù)學(xué)生和教職員工的隱私和安全信息��,定期進(jìn)行軟件更新和掃描潛在漏洞�����,以確保不發(fā)生泄露����。
