安全研究人员发现,多个使用 .gov 和 .mil 域名的美国政府网站托管色情和垃圾邮件内容,例如伟哥广告,这些站点使用同一个软件供应商。
美国政府网站托管“色情”和“垃圾邮件”
9月18日,Bleeping Computer 披露,安全研究员Zach Edwards发现,FBI、CIA、美国财政部、军方等政府机构软件的供应商Laserfiche,在给美国政府机构提供的Laserfiche Forms 软件产品中,包含一个漏洞,该漏洞允许攻击者在政府网站上推送恶意色情内容和垃圾邮件。
Zach Edwards称,“这个漏洞在 .gov 和 .mil 域上创建了网络钓鱼诱饵,将访问者推向恶意重定向,并可能以其他漏洞攻击这些受害者。
在对该漏洞一年多追踪的过程中,他还发现美国参议员乔恩·泰斯特和明尼苏达州国民警卫队的网站将用户索引到伟哥产品的宣传页面。
这件事件披露前,攻击者已经在国家气象局等政府网站上滥用重定向功能,将用户重定向到色情网站,这表明发垃圾邮件不是攻击者能够利用的唯一攻击媒介。
Laiserfiche了发布清理工具,但并非所有版本都已修复
近日,Laserfiche发布了针对该漏洞的安全公告,以及有关如何清除网站垃圾邮件内容的说明。该公司在安全公告中表示:攻击者正在利用政府部门网站上存在的漏洞,未经身份验证的第三方可以使用Laserfiche Forms 临时托管上传的文件并进行分发 。
Laserfiche公告中显示,客户提交数据不会受到影响,但第三方攻击者无法访问,能够通过减少临时文件下载链接激活的时间,来解决这个漏洞。
一些政府客户已经采取了补救措施,研究人员在访问上述搜索结果(以前显示垃圾邮件内容)时发现,现在通过 Laserfiche Forms 出现显示错误的界面。
当访问垃圾邮件链接时,运行 Laserfiche Forms 的政府网站会抛出错误 (BleepingComputer)
研究员Edwards对Laserfiche处理结果,并不感到十分满意,该公司尚未修复所有产品版本中的漏洞。
后续Laserfiche发布报告称,将漏洞情况和现有更新通知给客户是首要任务,预计很快就会为选定的 Laserfiche Forms 先前版本提供安全更新。
不久之后,Laserfiche 发布了一种清理工具,客户可以使用该工具清除对其门户网站,进行未经授权的上传。
参考链接:
https://www.bleepingcomputer.com/news/security/us-govt-sites-showing-porn-viagra-ads-share-a-common-software-vendor/