精英大学面临色情子域名危机

在其官方网站子域遭到破坏并被武器化以传播露骨色情内容和恶意诈骗后，美国各地的主要大学正在努力应对严重的网络安全危机。安全研究员 Alex Shakhov 最近发现了这个影响世界上一些最受尊敬的学术机构的令人不安的漏洞，揭示了域管理实践不足和大学 IT 管理员疏忽记录保存所带来的危险后果。

受影响的机构包括加州大学伯克利分校 (berkeley.edu)、哥伦比亚大学 (columbia.edu) 和圣路易斯华盛顿大学 (washu.edu) 等知名机构。诈骗者不是直接访问大学的主要主页，而是利用被遗忘或废弃的子域——通常用于特定部门、研究项目或服务的专用网址。这些子域名是多年前创建的，随后在没有适当维护的情况下被废弃，成为寻求托管非法内容和欺诈计划的恶意行为者的容易目标。

受侵害的子域的具体示例其厚颜无耻尤其令人震惊。位于 causal.stat.berkeley.edu 的加州大学伯克利分校子域通过包含明显成人内容引用的 URL 提供露骨的色情材料。同样，哥伦比亚大学的 conversion-dev.svc.cul.columbia[.]edu 子域将访问者重定向到色情网站，而华盛顿大学的 provost.washu.edu 域则托管包含成人材料的 PDF 文件。这些被劫持的子域不仅仅提供被动内容；还提供服务。一些人引导毫无戒心的访问者访问诈骗网站，这些网站谎称他们的计算机感染了恶意软件，并要求支付不必要的“安全修复”费用。

这起大学子域名劫持丑闻的范围远远超出了这三个机构。 Shakhov 的调查发现了至少 34 所不同大学的数百个受损子域，这表明学术机构在管理其数字基础设施方面存在系统性问题。仅 Google 搜索结果就返回了数千个指向这些被劫持子域的索引页面，这意味着毫无戒心的学生、家长和工作人员在搜索合法的大学资源或进行研究时很容易偶然发现这些有害内容。

这种广泛存在的漏洞的根本原因可以直接追溯到不良的子域治理和马虎的管理工作。多年来，大学为研究项目、实验计划、部门网站和临时服务创建了许多子域。然而，当这些项目结束或不再需要服务时，许多机构无法正确记录、维护或停用这些数字资产。这就造成了网络安全专家所说的“域名孤儿”，即被遗忘的网址仍然活跃且可访问，但缺乏任何合法目的或监督。

如果没有适当的 DNS 记录、SSL 证书或主动监控，这些孤立的子域很容易受到称为子域接管攻击的技术的攻击。恶意行为者可以使用大学域名注册托管服务或网络平台，从而有效地控制这些被遗忘的数字财产。由于这些子域名保留了与其父大学域名相关的权威和可信度，因此 Google 等搜索引擎很容易对它们进行索引，并且用户更有可能信任它们。这种组合使它们成为分发成人内容、运行网络钓鱼计划和传播恶意软件的宝贵工具。

此安全故障的影响是多方面的且令人担忧。对于大学本身来说，在其官方域名上托管露骨内容和欺诈计划会损害机构声誉，并可能使他们承担法律责任。遇到此内容的学生和工作人员可能会遇到安全漏洞，因为诈骗网站经常收集个人信息或传播恶意软件。搜索有关这些机构的信息的家长和未来的学生可能会无意中访问成人材料，从而造成深刻的负面第一印象。

此外，这种情况说明了机构网络安全实践中存在更广泛的问题。许多大学，尤其是那些拥有数十年建成的庞大 IT 基础设施的大学，都在努力维护其所有数字资产的全面库存。如果不确切知道存在哪些子域以及它们支持哪些服务，IT 团队就无法有效保护其网络。这种知识差距使得无法确定哪些领域真正在使用，哪些领域已被遗忘和放弃。

研究界多年来一直意识到类似的漏洞。安全专业人员已经发布了大量关于非托管子域的风险以及攻击者利用它们的容易程度的警告。然而，许多组织在实施系统解决方案方面进展缓慢。创建和维护全面的子域清单需要大量时间和资源，许多机构认为与保护主要网站和关键学术系统相比，它的优先级较低。

解决这一普遍问题需要受影响的大学采取多管齐下的方法。首先，每个机构都需要对其主域名关联的所有子域进行彻底审核。该清单应记录每个子域的用途，确定哪些子域仍在使用中，并标记那些已被放弃的子域。其次，大学必须实施自动监控系统，能够检测其域名何时被滥用或何时未经授权创建可疑 DNS 记录。

第三，机构应制定明确的子域名生命周期管理政策。这包括在创建新子域时要求提供文档、建立定期审核计划以评估子域是否仍然必要，以及制定安全停用不再需要的域的程序。第四，大学必须确保正确配置 DNSSEC 等 DNS 安全功能，并定期审核 DNS 记录是否存在未经授权的条目。

除了个别机构的反应之外，这一事件还凸显了围绕域安全最佳实践制定更好的全行业标准的必要性。大学联盟和 IT 专业组织可以开发专门设计的指南和工具，帮助学术机构管理日益复杂的数字基础设施。此外，可以鼓励域名注册商为机构客户提供更好的安全功能和监控能力。

研究员 Alex Shakhov 的发现清楚地提醒我们，如果忽视基本的安全卫生，即使是拥有大量资源的知名机构也可能成为相对简单的攻击的受害者。随着大学不断扩大其数字化影响力并创建新的基于网络的服务来支持研究和教育，适当的基础设施管理的重要性怎么强调也不为过。受这一最新漏洞影响的机构现在面临着双重挑战，一方面要消除声誉损失，另一方面要实施系统以防止未来发生类似事件，这是域名管理不善的真实代价的惨痛教训。