Сайты некоторых из самых престижных университетов мира начали распространять порнографию и вредоносный контент из-за халатного отношения к управлению доменами. Об этом сообщил исследователь, обнаруживший масштабную уязвимость в системе администрирования.

Под угрозой оказались домены berkeley.edu, columbia.edu и washu.edu — официальные сайты Калифорнийского университета в Беркли, Колумбийского университета и Университета Вашингтона в Сент-Луисе. Вредоносные поддомены, такие как hXXps://causal.stat.berkeley.edu/ymy/video/xxx-porn-girl-boy-ej5210.html, hXXps://conversion-dev.svc.cul.columbia[.]edu/brazzers-gym-porn и hXXps://provost.washu.edu/app/uploads/formidable/6/dmkcsex-10.pdf, ведут на страницы с откровенной порнографией. Один из них — на мошеннический сайт, который якобы обнаруживает вирус на компьютере пользователя и требует оплаты за его удаление.

По данным исследователя Алекса Шахова (Alex Shakhov), злоумышленники используют устаревшие поддомены в доменах как минимум 34 университетов. В Google уже индексируется тысячи таких скомпрометированных страниц.

Как мошенники используют репутацию вузов

Шахов, специалист из компании SH Consulting, объяснил, что злоумышленники, связанные с группировкой Hazy Hawk, пользуются простой, но эффективной уязвимостью — ошибками в документации. Когда университет создаёт поддомен (например, provost.washu.edu), он добавляет в DNS-записи так называемый CNAME-запись, которая связывает адрес с определённым IP. Но когда проект закрывается, администраторы часто забывают удалить эту запись.

В результате поддомен остаётся «висеть» в системе, указывая на внешний IP, который больше не контролируется университетом. Мошенники регистрируют этот IP или домен, лежащий в основе, и получают полный контроль над поддоменом — под видом авторитетного вуза они размещают порнографию, фишинговые страницы и вредоносные файлы.

«Это не взлом, а последствие плохой доменной гигиены», — пояснил исследователь.

Websites for some of the world’s most prestigious universities are serving explicit porn and malicious content after scammers exploited the shoddy record-keeping of the site administrators, a researcher found recently.

The sites included berkeley.edu, columbia.edu, and washu.edu, the official domains for the University of California, Berkeley, Columbia University, and Washington University in St. Louis. Subdomains such as hXXps://causal.stat.berkeley.edu/ymy/video/xxx-porn-girl-and-boy-ej5210.html, hXXps://conversion-dev.svc.cul.columbia[.]edu/brazzers-gym-porn, and hXXps://provost.washu.edu/app/uploads/formidable/6/dmkcsex-10.pdf. All deliver explicit pornography and, in at least one case, a scam site falsely claiming a visitor’s computer is infected and advising the visitor to pay a fee for the non-existent malware to be removed. In all, researcher Alex Shakhov said, hundreds of subdomains for at least 34 universities are being abused. Search results returned by Google list thousands of hijacked pages.

A handful of hijacked columbia.edu subdomains listed by Google One of the sites redirected by a UC Berkeley subdomain.

Hijacking a university's good name

Shakhov, a researcher at SH Consulting, said that the scammers—which a separate researcher has linked to a known group tracked as Hazy Hawk—are seizing on what amounts to a clerical error by site administrators of the affected universities. When they commission a subdomain such as provost.washu.edu, they create a CNAME record, which assigns a URL to the IP address hosting the subdomain. When the subdomain is eventually decommissioned—something that happens frequently for various reasons—the record is never removed. Scammers like Hazy Hawk then swoop in by registering the expired domain name at the base of the old URL.

Read full article

Comments