Cyber News的一項調查研究顯示，全球多所頂尖高校的網站未能及時更新安全補丁，存在敏感信息泄露，甚至被攻擊者全面接管的風險。

Cyber News 研究團隊詳細調查了 20 個每月有數百萬訪問量的高校網站，其中至少有6個是位于全球Top 100的頂尖高校。研究人員表示，針對大學的攻擊歷來非常常見，包括了從學生試圖取消課程發起的 DDoS 攻擊到全面的勒索軟件攻擊。

安全級別不一定與高校的規模或重要性相關，因為規模較小和較大的高校都表現出類似的漏洞。雖然調查結果不包括任何未受保護的數據庫或一年多前的漏洞，但一些高校遲遲沒有應用安全更新。研究人員還發現了幾個關鍵漏洞和非常敏感的憑證被泄露。

研究發現，由于暴露的環境文件 (.env) 或遠程代碼執行 (RCE) 漏洞，UTEL大學（墨西哥）、臺灣大學、瓦爾登大學、西印度群島大學（牙買加）、加州大學圣地亞哥分校泄露的信息可能導致網站被完全接管。

加州大學圣地亞哥分校的網站留下了數據庫憑據、Cloudflare 憑據、WordPress 憑據和電子郵件憑據可供獲取。攻擊者可以利用這些來接管網站、重定向到惡意服務器、從官方通信渠道進行網絡釣魚以及訪問用戶信息。

臺灣大學 (NTU) 的網站泄露了 JSON Web Token 機密、數據庫憑據和帶有用戶名的 git URL。這些都可能使攻擊者能夠劫持帳戶并獲得管理員訪問權限。

瓦爾登大學和西印度群島大學這兩所規模較小的大學的網站容易受到遠程代碼執行的攻擊，從而可能導致網站被接管。

研究還發現另外8所高校：匹茲堡大學、不列顛哥倫比亞大學、安第斯大學（哥倫比亞）、自由大學、舊道明大學、范德比爾特大學、新罕布什爾大學泄露的憑證或漏洞利用可以獲取學生和教師的私人信息。

研究人員指出，他們的研究范圍并不詳盡，這也意味著所發現的漏洞和錯誤配置能夠被初級網絡攻擊者利用。為了進行更詳細的分析，需要進行更深入的滲透測試。

不應被公開的環境文件

環境文件不應讓外部人員訪問，因為這些文件是配置文件，通常包含 Web 應用程序使用的部分或全部第三方服務、數據庫和 API 憑證。攻擊者可能會使用暴露的憑證來訪問私有數據庫并濫用 API 函數。在某些情況下，泄露的憑證可能會導致整個網站遭到入侵。此外，Git 存儲庫配置文件的憑證在受損時（允許攻擊者下載和檢查網站的源代碼）應該重置。

而RCE 漏洞，例如 WSO2 Web 服務器 RCE 漏洞 (CVE-2022-29464) 和 Microsoft Exchange RCE 漏洞 (CVE-2023-21529)需要手動或自動修補，或更新 Microsoft Exchange 服務器。

研究人員發現，瓦爾登大學和西印度群島大學正在運行易受攻擊的 WSO2 Web 服務器版本，且這些服務器在一年多的時間內沒有更新。其他大學，如范德比爾特大學、新罕布什爾大學和舊道明尼恩大學則延遲了一個多月才修補其 Microsoft Exchange 服務器的 RCE 漏洞。

關于泄露的憑證，研究發現，有兩所高校使用了給定軟件的默認憑證，5所大學使用了弱密碼，反映出這些高校在安全實踐上的不足，并暗示了用于其他應用程序的憑證也可能同樣使用了弱密碼。

來自部分高校的回應

Cybernews 聯系了研究中提到的所有大學。波特蘭州立大學在接到報告后解決了相應的漏洞問題。

匹茲堡大學回應稱，確保數據安全對學校至關重要，信息安全團隊在收到通知后立即采取措施修復了漏洞。

瓦爾登大學則稱他們沒有任何數據泄露或曝光，并表示自己擁有強大的監控系統，致力于保護學生和教職員工的隱私和安全信息，定期進行軟件更新和掃描潛在漏洞，以確保不發生泄露。