[[424835]]

安全研究人員發(fā)現(xiàn)，多個使用 .gov 和 .mil 域名的美國政府網(wǎng)站托管色情和垃圾郵件內(nèi)容，例如偉哥廣告，這些站點使用同一個軟件供應(yīng)商。

美國政府網(wǎng)站托管“色情”和“垃圾郵件”

9月18日，Bleeping Computer 披露，安全研究員Zach Edwards發(fā)現(xiàn)，F(xiàn)BI、CIA、美國財政部、軍方等政府機(jī)構(gòu)軟件的供應(yīng)商Laserfiche，在給美國政府機(jī)構(gòu)提供的Laserfiche Forms 軟件產(chǎn)品中，包含一個漏洞，該漏洞允許攻擊者在政府網(wǎng)站上推送惡意色情內(nèi)容和垃圾郵件。  

 

Zach Edwards稱，“這個漏洞在 .gov 和 .mil 域上創(chuàng)建了網(wǎng)絡(luò)釣魚誘餌，將訪問者推向惡意重定向，并可能以其他漏洞攻擊這些受害者。

在對該漏洞一年多追蹤的過程中，他還發(fā)現(xiàn)美國參議員喬恩·泰斯特和明尼蘇達(dá)州國民警衛(wèi)隊的網(wǎng)站將用戶索引到偉哥產(chǎn)品的宣傳頁面。

這件事件披露前，攻擊者已經(jīng)在國家氣象局等政府網(wǎng)站上濫用重定向功能，將用戶重定向到色情網(wǎng)站，這表明發(fā)垃圾郵件不是攻擊者能夠利用的唯一攻擊媒介。

Laiserfiche了發(fā)布清理工具，但并非所有版本都已修復(fù)

近日，Laserfiche發(fā)布了針對該漏洞的安全公告，以及有關(guān)如何清除網(wǎng)站垃圾郵件內(nèi)容的說明。該公司在安全公告中表示：攻擊者正在利用政府部門網(wǎng)站上存在的漏洞，未經(jīng)身份驗證的第三方可以使用Laserfiche Forms 臨時托管上傳的文件并進(jìn)行分發(fā) 。

Laserfiche公告中顯示，客戶提交數(shù)據(jù)不會受到影響，但第三方攻擊者無法訪問，能夠通過減少臨時文件下載鏈接激活的時間，來解決這個漏洞。

一些政府客戶已經(jīng)采取了補(bǔ)救措施，研究人員在訪問上述搜索結(jié)果(以前顯示垃圾郵件內(nèi)容)時發(fā)現(xiàn)，現(xiàn)在通過 Laserfiche Forms 出現(xiàn)顯示錯誤的界面。

當(dāng)訪問垃圾郵件鏈接時，運行 Laserfiche Forms 的政府網(wǎng)站會拋出錯誤 (BleepingComputer)

研究員Edwards對Laserfiche處理結(jié)果，并不感到十分滿意，該公司尚未修復(fù)所有產(chǎn)品版本中的漏洞。

后續(xù)Laserfiche發(fā)布報告稱，將漏洞情況和現(xiàn)有更新通知給客戶是首要任務(wù)，預(yù)計很快就會為選定的 Laserfiche Forms 先前版本提供安全更新。

不久之后，Laserfiche 發(fā)布了一種清理工具，客戶可以使用該工具清除對其門戶網(wǎng)站，進(jìn)行未經(jīng)授權(quán)的上傳。

參考鏈接：

https://www.bleepingcomputer.com/news/security/us-govt-sites-showing-porn-viagra-ads-share-a-common-software-vendor/