[[424835]]

安全研究人員發(fā)現(xiàn)，多個(gè)使用 .gov 和 .mil 域名的美國(guó)政府網(wǎng)站托管色情和垃圾郵件內(nèi)容，例如偉哥廣告，這些站點(diǎn)使用同一個(gè)軟件供應(yīng)商。

美國(guó)政府網(wǎng)站托管“色情”和“垃圾郵件”

9月18日，Bleeping Computer 披露，安全研究員Zach Edwards發(fā)現(xiàn)，F(xiàn)BI、CIA、美國(guó)財(cái)政部、軍方等政府機(jī)構(gòu)軟件的供應(yīng)商Laserfiche，在給美國(guó)政府機(jī)構(gòu)提供的Laserfiche Forms 軟件產(chǎn)品中，包含一個(gè)漏洞，該漏洞允許攻擊者在政府網(wǎng)站上推送惡意色情內(nèi)容和垃圾郵件。  

 

Zach Edwards稱，“這個(gè)漏洞在 .gov 和 .mil 域上創(chuàng)建了網(wǎng)絡(luò)釣魚(yú)誘餌，將訪問(wèn)者推向惡意重定向，并可能以其他漏洞攻擊這些受害者。

在對(duì)該漏洞一年多追蹤的過(guò)程中，他還發(fā)現(xiàn)美國(guó)參議員喬恩·泰斯特和明尼蘇達(dá)州國(guó)民警衛(wèi)隊(duì)的網(wǎng)站將用戶索引到偉哥產(chǎn)品的宣傳頁(yè)面。

這件事件披露前，攻擊者已經(jīng)在國(guó)家氣象局等政府網(wǎng)站上濫用重定向功能，將用戶重定向到色情網(wǎng)站，這表明發(fā)垃圾郵件不是攻擊者能夠利用的唯一攻擊媒介。

Laiserfiche了發(fā)布清理工具，但并非所有版本都已修復(fù)

近日，Laserfiche發(fā)布了針對(duì)該漏洞的安全公告，以及有關(guān)如何清除網(wǎng)站垃圾郵件內(nèi)容的說(shuō)明。該公司在安全公告中表示：攻擊者正在利用政府部門網(wǎng)站上存在的漏洞，未經(jīng)身份驗(yàn)證的第三方可以使用Laserfiche Forms 臨時(shí)托管上傳的文件并進(jìn)行分發(fā) 。

Laserfiche公告中顯示，客戶提交數(shù)據(jù)不會(huì)受到影響，但第三方攻擊者無(wú)法訪問(wèn)，能夠通過(guò)減少臨時(shí)文件下載鏈接激活的時(shí)間，來(lái)解決這個(gè)漏洞。

一些政府客戶已經(jīng)采取了補(bǔ)救措施，研究人員在訪問(wèn)上述搜索結(jié)果(以前顯示垃圾郵件內(nèi)容)時(shí)發(fā)現(xiàn)，現(xiàn)在通過(guò) Laserfiche Forms 出現(xiàn)顯示錯(cuò)誤的界面。

當(dāng)訪問(wèn)垃圾郵件鏈接時(shí)，運(yùn)行 Laserfiche Forms 的政府網(wǎng)站會(huì)拋出錯(cuò)誤 (BleepingComputer)

研究員Edwards對(duì)Laserfiche處理結(jié)果，并不感到十分滿意，該公司尚未修復(fù)所有產(chǎn)品版本中的漏洞。

后續(xù)Laserfiche發(fā)布報(bào)告稱，將漏洞情況和現(xiàn)有更新通知給客戶是首要任務(wù)，預(yù)計(jì)很快就會(huì)為選定的 Laserfiche Forms 先前版本提供安全更新。

不久之后，Laserfiche 發(fā)布了一種清理工具，客戶可以使用該工具清除對(duì)其門戶網(wǎng)站，進(jìn)行未經(jīng)授權(quán)的上傳。

參考鏈接：

https://www.bleepingcomputer.com/news/security/us-govt-sites-showing-porn-viagra-ads-share-a-common-software-vendor/