安全研究人员发现,多次使用 .gov 和 .mil 域名的美国政府网站托管颜色和垃圾邮件,如伟哥广告,使用相同的软件供应商。
美国政府网站托管“色情”和“垃圾邮件”
9月18日,Bleeping Computer 披露,安全研究员Zach Edwards发现,FBI、CIA、财政部、军方等政府机构软件的供应商Laserfiche,为美国政府机构提供的Laserfiche Forms 软件产品包含一个允许攻击者在政府网站上推送恶意色情和垃圾邮件的漏洞。
包含由 Google 政府网站 (BleepingComputer)Zach Edwards称,“这个漏洞在 .gov 和 .mil 域内创建了网络钓鱼诱饵,将访问者推向恶意重定向,并可能以其他漏洞攻击这些受害者。
在追踪漏洞一年多的过程中,他还发现美国参议员乔恩·泰斯特和明尼苏达州国民警卫队的网站将用户索引到伟哥产品的宣传页面。
在事件披露之前,攻击者滥用了国家气象局等政府网站上的重定向功能,并将用户重定向到色情网站,这表明垃圾邮件不是攻击者可以使用的唯一攻击媒介。
Laiserfiche已发布清洁工具,但并非所有版本都已修复
近日,Laserfiche发布了关于如何清除网站垃圾邮件内容的安全公告。该公司在安全公告中表示,攻击者正在利用政府网站上的漏洞,未经身份验证的第三方可以使用Laserfiche Forms 临时托管上传的文件并分发 。
Laserfiche根据公告,客户提交的数据不会受到影响,但第三方攻击者无法访问,这个漏洞可以通过减少临时文件下载链接激活的时间来解决。
一些政府客户采取了补救措施,研究人员在访问上述搜索结果时发现,现在通过 Laserfiche Forms 界面显示错误。
当访问垃圾邮件链接时,操作 Laserfiche Forms 政府网站会出错 (BleepingComputer)
研究员Edwards对Laserfiche对处理结果不满意,公司还没有修复所有产品版本的漏洞。
后续Laserfiche根据发布的报告,向客户发出漏洞和现有更新通知是首要任务,预计将很快选择 Laserfiche Forms 以前的版本提供安全更新。
不久之后,Laserfiche 发布了一种未经授权上传的清洁工具,客户可以使用该工具清除门户网站。
参考链接:
https://www.bleepingcomputer.com/news/security/us-govt-sites-showing-porn-viagra-ads-share-a-common-software-vendor/