freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    多个美国政府网站被攻击,托管“色情”和“垃圾邮件”
    2021-09-18 10:40:16

    安全研究人员发现,多个使用 .gov 和 .mil 域名的美国政府网站托管色情和垃圾邮件内容,例如伟哥广告,这些站点使用同一个软件供应商。

    美国政府网站托管“色情”和“垃圾邮件”

    9月18日,Bleeping Computer 披露,安全研究员Zach Edwards发现,FBI、CIA、美国财政部、军方等政府机构软件的供应商Laserfiche,在给美国政府机构提供的Laserfiche Forms 软件产品中,包含一个漏洞,该漏洞允许攻击者在政府网站上推送恶意色情内容和垃圾邮件。

    谷歌索引的政府网站包含由 Google 索引的垃圾邮件内容的政府网站 (BleepingComputer)

    Zach Edwards称,“这个漏洞在 .gov 和 .mil 域上创建了网络钓鱼诱饵,将访问者推向恶意重定向,并可能以其他漏洞攻击这些受害者。

    在对该漏洞一年多追踪的过程中,他还发现美国参议员乔恩·泰斯特和明尼苏达州国民警卫队的网站将用户索引到伟哥产品的宣传页面。

    这件事件披露前,攻击者已经在国家气象局等政府网站上滥用重定向功能,将用户重定向到色情网站,这表明发垃圾邮件不是攻击者能够利用的唯一攻击媒介。

    Laiserfiche了发布清理工具,但并非所有版本都已修复

    近日,Laserfiche发布了针对该漏洞的安全公告,以及有关如何清除网站垃圾邮件内容的说明。该公司在安全公告中表示:攻击者正在利用政府部门网站上存在的漏洞,未经身份验证的第三方可以使用Laserfiche Forms 临时托管上传的文件并进行分发 。

    Laserfiche公告中显示,客户提交数据不会受到影响,但第三方攻击者无法访问,能够通过减少临时文件下载链接激活的时间,来解决这个漏洞。

    一些政府客户已经采取了补救措施,研究人员在访问上述搜索结果(以前显示垃圾邮件内容)时发现,现在通过 Laserfiche Forms 出现显示错误的界面。

    供应商抛出错误当访问垃圾邮件链接时,运行 Laserfiche Forms 的政府网站会抛出错误 (BleepingComputer)

    研究员Edwards对Laserfiche处理结果,并不感到十分满意,该公司尚未修复所有产品版本中的漏洞。

    后续Laserfiche发布报告称,将漏洞情况和现有更新通知给客户是首要任务,预计很快就会为选定的 Laserfiche Forms 先前版本提供安全更新。

    不久之后,Laserfiche 发布了一种清理工具,客户可以使用该工具清除对其门户网站,进行未经授权的上传。

    参考链接:

    https://www.bleepingcomputer.com/news/security/us-govt-sites-showing-porn-viagra-ads-share-a-common-software-vendor/

    # 漏洞 # 系统安全 # 政府
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者
    文章目录