官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Cyber News的一项调查研究显示,全球多所顶尖高校的网站未能及时更新安全补丁,存在敏感信息泄露,甚至被攻击者全面接管的风险。
Cyber News 研究团队详细调查了 20 个每月有数百万访问量的高校网站,其中至少有6个是位于全球Top 100的顶尖高校。研究人员表示,针对大学的攻击历来非常常见,包括了从学生试图取消课程发起的 DDoS 攻击到全面的勒索软件攻击。
安全级别不一定与高校的规模或重要性相关,因为规模较小和较大的高校都表现出类似的漏洞。虽然调查结果不包括任何未受保护的数据库或一年多前的漏洞,但一些高校迟迟没有应用安全更新。研究人员还发现了几个关键漏洞和非常敏感的凭证被泄露。
研究发现,由于暴露的环境文件 (.env) 或远程代码执行 (RCE) 漏洞,UTEL大学(墨西哥)、台湾大学、瓦尔登大学、西印度群岛大学(牙买加)、加州大学圣地亚哥分校泄露的信息可能导致网站被完全接管。
加州大学圣地亚哥分校的网站留下了数据库凭据、Cloudflare 凭据、WordPress 凭据和电子邮件凭据可供获取。攻击者可以利用这些来接管网站、重定向到恶意服务器、从官方通信渠道进行网络钓鱼以及访问用户信息。
台湾大学 (NTU) 的网站泄露了 JSON Web Token 机密、数据库凭据和带有用户名的 git URL。这些都可能使攻击者能够劫持帐户并获得管理员访问权限。
瓦尔登大学和西印度群岛大学这两所规模较小的大学的网站容易受到远程代码执行的攻击,从而可能导致网站被接管。
研究还发现另外8所高校:匹兹堡大学、不列颠哥伦比亚大学、安第斯大学(哥伦比亚)、自由大学、旧道明大学、范德比尔特大学、新罕布什尔大学泄露的凭证或漏洞利用可以获取学生和教师的私人信息。
研究人员指出,他们的研究范围并不详尽,这也意味着所发现的漏洞和错误配置能够被初级网络攻击者利用。为了进行更详细的分析,需要进行更深入的渗透测试。
不应被公开的环境文件
环境文件不应让外部人员访问,因为这些文件是配置文件,通常包含 Web 应用程序使用的部分或全部第三方服务、数据库和 API 凭证。攻击者可能会使用暴露的凭证来访问私有数据库并滥用 API 函数。在某些情况下,泄露的凭证可能会导致整个网站遭到入侵。此外,Git 存储库配置文件的凭证在受损时(允许攻击者下载和检查网站的源代码)应该重置。
而RCE 漏洞,例如 WSO2 Web 服务器 RCE 漏洞 (CVE-2022-29464) 和 Microsoft Exchange RCE 漏洞 (CVE-2023-21529)需要手动或自动修补,或更新 Microsoft Exchange 服务器。
研究人员发现,瓦尔登大学和西印度群岛大学正在运行易受攻击的 WSO2 Web 服务器版本,且这些服务器在一年多的时间内没有更新。其他大学,如范德比尔特大学、新罕布什尔大学和旧道明尼恩大学则延迟了一个多月才修补其 Microsoft Exchange 服务器的 RCE 漏洞。
关于泄露的凭证,研究发现,有两所高校使用了给定软件的默认凭证,5所大学使用了弱密码,反映出这些高校在安全实践上的不足,并暗示了用于其他应用程序的凭证也可能同样使用了弱密码。
来自部分高校的回应
Cybernews 联系了研究中提到的所有大学。波特兰州立大学在接到报告后解决了相应的漏洞问题。
匹兹堡大学回应称,确保数据安全对学校至关重要,信息安全团队在收到通知后立即采取措施修复了漏洞。
瓦尔登大学则称他们没有任何数据泄露或曝光,并表示自己拥有强大的监控系统,致力于保护学生和教职员工的隐私和安全信息,定期进行软件更新和扫描潜在漏洞,以确保不发生泄露。
参考来源:Some of TOP universities wouldn’t pass cybersecurity exam: left websites vulnerable