《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 美國(guó)數(shù)十個(gè)政軍網(wǎng)站遭攻擊:大量色情廣告 屢次刪除又重新出現(xiàn)

美國(guó)數(shù)十個(gè)政軍網(wǎng)站遭攻擊:大量色情廣告 屢次刪除又重新出現(xiàn)

2021-09-18
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 網(wǎng)站 色情廣告

  研究人員發(fā)現(xiàn),近一年來(lái)約50個(gè)美國(guó)政軍網(wǎng)站經(jīng)常出現(xiàn)色情和垃圾內(nèi)容,,多次反饋下線(xiàn)又重新出現(xiàn),,包括參議員Jon Tester網(wǎng)站,、明尼蘇達(dá)州國(guó)民警衛(wèi)隊(duì)網(wǎng)站等,;

  經(jīng)分析,,這些網(wǎng)站都使用了同一個(gè)軟件Laserfiche Forms,,該軟件的一個(gè)文件上傳漏洞遭大量利用,,攻擊者可上傳發(fā)布不良內(nèi)容,;

  Laserfiche已發(fā)布清理工具和修復(fù)補(bǔ)丁,但還有部分版本目前沒(méi)有得到修復(fù),。

  去年至今,,多個(gè)使用。gov及,。mil域名的美國(guó)政府和軍隊(duì)網(wǎng)站被發(fā)現(xiàn)托管有色情及垃圾內(nèi)容,,其中包括偉哥廣告。

  一位安全研究人員注意到,,所有這些站點(diǎn)都使用著同一家軟件供應(yīng)商,。

  色情美國(guó)

  安全研究人員Zach Edwards發(fā)現(xiàn),,。gov及,。mil域名中出現(xiàn)色情內(nèi)容問(wèn)題的源頭是政府承包商Laserfiche提供的通用軟件產(chǎn)品。

  Laserfiche目前為FBI,、CIA,、美國(guó)財(cái)政部、軍方及眾多其他政府機(jī)構(gòu)提供服務(wù),。

  Laserfiche旗下的電子表格(Forms)產(chǎn)品存在一個(gè)漏洞,,允許攻擊者在擁有良好信譽(yù)的政府網(wǎng)站上推送惡意與垃圾內(nèi)容。

  可以看到,,谷歌能夠索引出政府網(wǎng)站上的垃圾內(nèi)容

  發(fā)現(xiàn)并披露該問(wèn)題的Edwards表示,,“這個(gè)漏洞給。gov與,。mil域帶來(lái)了網(wǎng)絡(luò)釣魚(yú)誘餌,,會(huì)將訪(fǎng)問(wèn)者重新定向至惡意目的地,并可能配合其他漏洞共同發(fā)起攻擊,?!?/p>

  經(jīng)過(guò)一年多的漏洞追蹤,Edwards發(fā)現(xiàn)美國(guó)參議員Jon Tester的網(wǎng)站與明尼蘇達(dá)州國(guó)民警衛(wèi)隊(duì)站點(diǎn)都會(huì)將用戶(hù)跳轉(zhuǎn)至偉哥產(chǎn)品頁(yè)面,。

  他還分享了一段視頻,,展示了該漏洞的實(shí)際效果,并表示他“大約在50個(gè)不同的政府網(wǎng)站子域上”發(fā)現(xiàn)了類(lèi)似的情況,。

  這當(dāng)然不是垃圾傳播分子的唯一獲利手段,。此前,攻擊者還曾濫用國(guó)家氣象局等政府網(wǎng)站為了搜索引擎優(yōu)化而開(kāi)放的重新定向功能,,將用戶(hù)重新定向至色情網(wǎng)站,。

  Laiserfiche發(fā)布清理工具,

  但部分版本并未得到修復(fù)

  Laserfiche目前已經(jīng)發(fā)布了針對(duì)此項(xiàng)漏洞的安全公告,,并給出網(wǎng)站垃圾內(nèi)容的清除說(shuō)明,。

  根據(jù)Laserfiche公司的介紹,問(wèn)題的根本原因在于未經(jīng)身份驗(yàn)證的文件上傳漏洞,。

  Laserfiche Forms中包含一個(gè)具備文件上傳字段的公開(kāi)表單,。未經(jīng)身份驗(yàn)證的外部人士可以訪(fǎng)問(wèn)該表單,借此將文件上傳至其他用戶(hù)的Web門(mén)戶(hù),,這樣發(fā)布的內(nèi)容就能在網(wǎng)絡(luò)上接受臨時(shí)訪(fǎng)問(wèn),。

  該公司在安全公告中表示,“本公告中提及的漏洞已經(jīng)遭到某種方式的利用,,未經(jīng)身份驗(yàn)證的第三方可以使用Laserfiche Forms臨時(shí)托管并分發(fā)所上傳的文件,。”

  “有效的客戶(hù)表單提交數(shù)據(jù)并不受影響,,第三方無(wú)法訪(fǎng)問(wèn)這部分內(nèi)容,。我們的安全更新縮短了臨時(shí)文件下載鏈接處于活動(dòng)狀態(tài)的時(shí)長(zhǎng),從而解決了此項(xiàng)漏洞,?!?/p>

  目前似乎已經(jīng)有政府客戶(hù)在采取補(bǔ)救措施,前文提到的部分搜索結(jié)果(之前顯示為垃圾內(nèi)容)現(xiàn)在會(huì)通過(guò)Laserfiche Forms實(shí)例彈出錯(cuò)誤:

  訪(fǎng)問(wèn)垃圾鏈接時(shí),,運(yùn)行Laserfiche Forms的政府網(wǎng)站現(xiàn)在會(huì)彈出錯(cuò)誤

  但Edwards對(duì)這樣的結(jié)果并不滿(mǎn)意,,因?yàn)長(zhǎng)aserfiche出于種種原因沒(méi)能全面修復(fù)所有產(chǎn)品版本中的漏洞。

  Laserfiche公司表示,,“請(qǐng)注意,,部分版本的更新目前尚未發(fā)布?!?/p>

  “我們認(rèn)為應(yīng)抓緊時(shí)間向各解決方案供應(yīng)商及客戶(hù)發(fā)布漏洞情況與可用更新,。很快,針對(duì)部分Laserfiche Forms先前版本的安全更新就會(huì)公開(kāi)發(fā)布,?!?/p>

  Laserfiche還發(fā)布了一款清理工具,可供客戶(hù)清除門(mén)戶(hù)網(wǎng)站中的未授權(quán)上傳內(nèi)容,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected],。