4 月 26 日消息,研究人员 Alex Shakhov 发现,由于网站管理员维护不善,全球多所顶尖大学的官方域名被不法分子利用,用于传播露骨色情及恶意内容,并成功被谷歌索引。
Shakhov 表示,目前已发现至少有 34 所大学的数百个子域名正在被滥用,包括但不限于:
麻省理工学院、哈佛大学、斯坦福大学、加州大学伯克利分校、哥伦比亚大学、芝加哥大学、约翰霍普金斯大学、乔治 · 华盛顿大学、密歇根大学、罗格斯大学、弗吉尼亚大学、得克萨斯农工大学、加州大学圣地亚哥分校、石溪大学、奥本大学、犹他大学、佐治亚大学、乔治梅森大学、得克萨斯克里斯汀大学、加州大学旧金山分校、埃默里大学、华盛顿大学、圣路易斯华盛顿大学、凯斯西储大学、北卡罗来纳大学教堂山分校、北卡罗来纳大学格林斯伯勒分校、佛罗里达州立大学、佛罗里达南方学院、加州理工州立大学、安迪亚克大学、鲍尔州立大学、圣地亚哥超级计算机中心、亚特兰蒂斯大学以及史蒂文斯理工学院。
谷歌搜索结果中可列出数千个被劫持的页面,具体案例包括:
hXXps://causal.stat.berkeley.edu/ ymy / video / xxx-porn-girl-and-boy-ej5210.html
hXXps://conversion-dev.svc.cul.columbia [.]edu / brazzers-gym-porn
hXXps://provost.washu.edu/ app / uploads / formidable/6/dmkcsex-10.pdf
这些地址均直接显示色情内容,其中至少一个还指向冒充感染警告的诈骗网站,诱导访客付费清除不存在的恶意软件。
在他公布初步研究结果后,Infoblox 威胁情报副总裁 Renée Burton 确认该行动系威胁组织 Hazy Hawk 所为 —— 该团队自该组织利用相同技术劫持 CDC 子域名以来便一直在追踪。安全社区成员还指出,国防部教育活动局(DoDEA)下属的一个域名同样存在被相同攻击模式利用的漏洞。
安全顾问 Henk G. 也指出,国防部教育活动局的一个域名同样存在该问题。该问题已通过国防部适当渠道上报。从大学研究实验室到军事教育基础设施,同一类漏洞的广泛存在凸显了问题的普遍性。
Shakhov 称,骗子利用的是高校网站管理员的“文书错误”。当大学为某个子域名创建 CNAME 记录时,该记录将子域名指向一个“权威”外部服务(例如 GitHub Pages、WP Engine 等)。而当该子域名日后因各种原因被停用时,对应的 DNS 记录却未被删除。Hazy Hawk 组织只需在外部平台上注册一个匹配废弃目标的新账户便可趁机完成劫持,从而完全控制该域名所指向的内容。
例如,Shakhov 发现 www.ccct.uchicago.edu 的 CNAME 记录指向一个不再被认领的 WP Engine 站点,任何注册了相应 WP Engine 账户的人都可以在芝加哥大学的子域名下发布任意内容。
Shakhov 指出,这些高校的人创建 DNS 记录后从不清理,而 CNAME 记录又没有过期时间,目标停止响应时也不会有人收到警报,且大多数大学 IT 部门没有维护其子域名的完整清单及指向信息。加之大学高度去中心化,各院系、实验室、研究小组和学生组织均可独立申请子域名,人员离职后其创建的 DNS 记录往往没有注销流程。
Shakhov 表示,截至本周五,许多子域名仍跳转至色情网站。据称,自本月初公开研究结果以来,仅有少数受影响大学清理了闲置 CNAME 记录,但未能让谷歌将相关 URL 从搜索结果中移除。
Shakhov 提醒:任何拥有网站的组织都应建立子域名清单,注明每个子域名的用途及其对应的 CNAME 记录,并定期审计是否存在已停用但未删除的空闲 CNAME 记录,一旦发现应立即移除。
还木有评论哦,快来抢沙发吧~