社区编辑申请
注册/登录
多个美国政府网站被攻击,托管“色情”和“垃圾邮件”
安全
安全研究人员发现,多个使用 .gov 和 .mil 域名的美国政府网站托管色情和垃圾邮件内容,例如伟哥广告,这些站点使用同一个软件供应商。

安全研究人员发现,多个使用 .gov 和 .mil 域名的美国政府网站托管色情和垃圾邮件内容,例如伟哥广告,这些站点使用同一个软件供应商。

美国政府网站托管“色情”和“垃圾邮件”

9月18日,Bleeping Computer 披露,安全研究员Zach Edwards发现,FBI、CIA、美国财政部、军方等政府机构软件的供应商Laserfiche,在给美国政府机构提供的Laserfiche Forms 软件产品中,包含一个漏洞,该漏洞允许攻击者在政府网站上推送恶意色情内容和垃圾邮件。  

谷歌索引的政府网站 
包含由 Google 索引的垃圾邮件内容的政府网站 (BleepingComputer) 

Zach Edwards称,“这个漏洞在 .gov 和 .mil 域上创建了网络钓鱼诱饵,将访问者推向恶意重定向,并可能以其他漏洞攻击这些受害者。

在对该漏洞一年多追踪的过程中,他还发现美国参议员乔恩·泰斯特和明尼苏达州国民警卫队的网站将用户索引到伟哥产品的宣传页面。

这件事件披露前,攻击者已经在国家气象局等政府网站上滥用重定向功能,将用户重定向到色情网站,这表明发垃圾邮件不是攻击者能够利用的唯一攻击媒介。

Laiserfiche了发布清理工具,但并非所有版本都已修复

近日,Laserfiche发布了针对该漏洞的安全公告,以及有关如何清除网站垃圾邮件内容的说明。该公司在安全公告中表示:攻击者正在利用政府部门网站上存在的漏洞,未经身份验证的第三方可以使用Laserfiche Forms 临时托管上传的文件并进行分发 。

Laserfiche公告中显示,客户提交数据不会受到影响,但第三方攻击者无法访问,能够通过减少临时文件下载链接激活的时间,来解决这个漏洞。

一些政府客户已经采取了补救措施,研究人员在访问上述搜索结果(以前显示垃圾邮件内容)时发现,现在通过 Laserfiche Forms 出现显示错误的界面。

供应商抛出错误

当访问垃圾邮件链接时,运行 Laserfiche Forms 的政府网站会抛出错误 (BleepingComputer)

研究员Edwards对Laserfiche处理结果,并不感到十分满意,该公司尚未修复所有产品版本中的漏洞。

后续Laserfiche发布报告称,将漏洞情况和现有更新通知给客户是首要任务,预计很快就会为选定的 Laserfiche Forms 先前版本提供安全更新。

不久之后,Laserfiche 发布了一种清理工具,客户可以使用该工具清除对其门户网站,进行未经授权的上传。

参考链接:

https://www.bleepingcomputer.com/news/security/us-govt-sites-showing-porn-viagra-ads-share-a-common-software-vendor/

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-06-20 22:37:25

Linux操作系统命令

2022-06-14 23:34:10

Linux安全服务器

2022-06-27 17:46:53

PythonFlask

2022-06-15 08:21:49

Linux运维工程师

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-16 15:42:16

攻击面管理ASM

2022-07-01 14:25:27

机器学习人工智能工业4.0

2022-06-27 19:01:04

Python应用程序数据

2022-06-09 18:04:46

网络攻击网络安全

2022-06-24 10:16:59

Python精选库

2022-07-01 05:47:19

PyCharm插件开发

2022-06-28 10:58:35

勒索软件攻击事件

2022-07-01 18:24:36

勒索软件病毒网络攻击

2022-07-01 14:14:42

MuddyWater攻击伊朗

2022-06-24 10:52:47

人工智能作业帮T前线

2022-06-23 12:43:36

区块链加密货币

2022-06-23 11:42:22

MySQL数据库

2022-06-20 13:34:46

漏洞网络攻击

2022-06-23 09:22:57

Vue技巧前端

同话题下的热门内容

都怪二维码,造就了网友们的社死现场...超低成本 DDoS 攻击来袭,看 WAF 如何绝地防护2022年上半年五大勒索软件攻击事件数据泄露的实际成本:声誉受损、客户流失、罚款、停业就因为QQ登录二维码,全网发生了大规模的社死谁家的加密密钥,写死在代码里?从扫码登录的原理分析QQ大量被盗事件​开源是实现安全的最佳途径吗?

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号