아직도 보안에 취약한 상위권 대학교들 - 기사읽기 1주차 2일

 

 

 

다른 기업들은 그래도 기본적인 취약점은 안당할 정도로 보안 수준을 끌여올렸지만

대학교들은 명성에 상관없이 아직도 취약한 곳이 있습니다. top 10 또는 top100에 드는 곳 중 20곳이 발견되었습니다.

조금만 찾아보면 나올 웹 취약점에 당한다는 것입니다.

 

 

주로 당하는 것이

노출되어있는 외부 웹만으로도 중요 보안 정보를 얻어 initial access를 얻을 수 있다는 점입니다. 

database creds, API keys, env파일을 쉽게 노출시켜놓았구요.

써드파티를 이용할 때도 주의해야합니다. - abusing API function 등이 있습니다.

 

 

시스템 전체를 takeover 허용한 곳

• UTEL University (Mexico)
• National Taiwan University
• Walden University
• University of West Indies (Jamaica)
• University of California San Diego

 

낮은 버전 취약점으로 인해 RCE를 허용하는 곳 

• University of Pittsburgh
• University of British Columbia
• University of the Andes (Colombia, Universidad de los Andes)
• Liberty University
• Old Dominion University
• Vanderbilt University
• University of New Hampshire

 

 

그나마 공격이 덜해서 그렇지, 컴퓨터 실력이 그리 높지 않은 아마추어 모의해커가 와서 접근했을 때 뚫린다는 뜻입니다.

어떻게 조사를 허락해서, 대학교에 취약하다고 전달했는지 모르겠지만, 이렇게 사전에 막을 수 있어 오히려 좋은 듯합니다. 

결제나 서비스를 마비시켜버리거나, 랜섬웨어를 걸어버리면 마음만 먹으면 피해가 늘어날 수 있습니다.

 

 

의견 한 줄:

특히 recycling같이 접속자 수 많은 비영리 조직들도 대비해야한다고 봅니다.

웹 쪽이나 데이터베이스에서 기본 또는 약한 creds를 사용할 경우 700만명 이상의 개인정보가 탈취당할 수 있으므로 그것 자체로 공격자들에겐 큰 기회가 되기 때문입니다.