多個美國政府網站被攻擊,托管“色情”和“垃圾郵件”
安全研究人員發現,多個使用 .gov 和 .mil 域名的美國政府網站托管色情和垃圾郵件內容,例如偉哥廣告,這些站點使用同一個軟件供應商。
美國政府網站托管“色情”和“垃圾郵件”
9月18日,Bleeping Computer 披露,安全研究員Zach Edwards發現,FBI、CIA、美國財政部、軍方等政府機構軟件的供應商Laserfiche,在給美國政府機構提供的Laserfiche Forms 軟件產品中,包含一個漏洞,該漏洞允許攻擊者在政府網站上推送惡意色情內容和垃圾郵件。
Zach Edwards稱,“這個漏洞在 .gov 和 .mil 域上創建了網絡釣魚誘餌,將訪問者推向惡意重定向,并可能以其他漏洞攻擊這些受害者。
在對該漏洞一年多追蹤的過程中,他還發現美國參議員喬恩·泰斯特和明尼蘇達州國民警衛隊的網站將用戶索引到偉哥產品的宣傳頁面。
這件事件披露前,攻擊者已經在國家氣象局等政府網站上濫用重定向功能,將用戶重定向到色情網站,這表明發垃圾郵件不是攻擊者能夠利用的唯一攻擊媒介。
Laiserfiche了發布清理工具,但并非所有版本都已修復
近日,Laserfiche發布了針對該漏洞的安全公告,以及有關如何清除網站垃圾郵件內容的說明。該公司在安全公告中表示:攻擊者正在利用政府部門網站上存在的漏洞,未經身份驗證的第三方可以使用Laserfiche Forms 臨時托管上傳的文件并進行分發 。
Laserfiche公告中顯示,客戶提交數據不會受到影響,但第三方攻擊者無法訪問,能夠通過減少臨時文件下載鏈接激活的時間,來解決這個漏洞。
一些政府客戶已經采取了補救措施,研究人員在訪問上述搜索結果(以前顯示垃圾郵件內容)時發現,現在通過 Laserfiche Forms 出現顯示錯誤的界面。
當訪問垃圾郵件鏈接時,運行 Laserfiche Forms 的政府網站會拋出錯誤 (BleepingComputer)
研究員Edwards對Laserfiche處理結果,并不感到十分滿意,該公司尚未修復所有產品版本中的漏洞。
后續Laserfiche發布報告稱,將漏洞情況和現有更新通知給客戶是首要任務,預計很快就會為選定的 Laserfiche Forms 先前版本提供安全更新。
不久之后,Laserfiche 發布了一種清理工具,客戶可以使用該工具清除對其門戶網站,進行未經授權的上傳。
參考鏈接:
https://www.bleepingcomputer.com/news/security/us-govt-sites-showing-porn-viagra-ads-share-a-common-software-vendor/
