美国数十个政军网站遭攻击:大量色情广告 屡次删除又重新出现
2021-09-18
来源:互联网安全内参
研究人员发现,近一年来约50个美国政军网站经常出现色情和垃圾内容,多次反馈下线又重新出现,包括参议员Jon Tester网站、明尼苏达州国民警卫队网站等;
经分析,这些网站都使用了同一个软件Laserfiche Forms,该软件的一个文件上传漏洞遭大量利用,攻击者可上传发布不良内容;
Laserfiche已发布清理工具和修复补丁,但还有部分版本目前没有得到修复。
去年至今,多个使用。gov及。mil域名的美国政府和军队网站被发现托管有色情及垃圾内容,其中包括伟哥广告。
一位安全研究人员注意到,所有这些站点都使用着同一家软件供应商。
色情美国
安全研究人员Zach Edwards发现,。gov及。mil域名中出现色情内容问题的源头是政府承包商Laserfiche提供的通用软件产品。
Laserfiche目前为FBI、CIA、美国财政部、军方及众多其他政府机构提供服务。
Laserfiche旗下的电子表格(Forms)产品存在一个漏洞,允许攻击者在拥有良好信誉的政府网站上推送恶意与垃圾内容。
可以看到,谷歌能够索引出政府网站上的垃圾内容
发现并披露该问题的Edwards表示,“这个漏洞给。gov与。mil域带来了网络钓鱼诱饵,会将访问者重新定向至恶意目的地,并可能配合其他漏洞共同发起攻击。”
经过一年多的漏洞追踪,Edwards发现美国参议员Jon Tester的网站与明尼苏达州国民警卫队站点都会将用户跳转至伟哥产品页面。
他还分享了一段视频,展示了该漏洞的实际效果,并表示他“大约在50个不同的政府网站子域上”发现了类似的情况。
这当然不是垃圾传播分子的唯一获利手段。此前,攻击者还曾滥用国家气象局等政府网站为了搜索引擎优化而开放的重新定向功能,将用户重新定向至色情网站。
Laiserfiche发布清理工具,
但部分版本并未得到修复
Laserfiche目前已经发布了针对此项漏洞的安全公告,并给出网站垃圾内容的清除说明。
根据Laserfiche公司的介绍,问题的根本原因在于未经身份验证的文件上传漏洞。
Laserfiche Forms中包含一个具备文件上传字段的公开表单。未经身份验证的外部人士可以访问该表单,借此将文件上传至其他用户的Web门户,这样发布的内容就能在网络上接受临时访问。
该公司在安全公告中表示,“本公告中提及的漏洞已经遭到某种方式的利用,未经身份验证的第三方可以使用Laserfiche Forms临时托管并分发所上传的文件。”
“有效的客户表单提交数据并不受影响,第三方无法访问这部分内容。我们的安全更新缩短了临时文件下载链接处于活动状态的时长,从而解决了此项漏洞。”
目前似乎已经有政府客户在采取补救措施,前文提到的部分搜索结果(之前显示为垃圾内容)现在会通过Laserfiche Forms实例弹出错误:
访问垃圾链接时,运行Laserfiche Forms的政府网站现在会弹出错误
但Edwards对这样的结果并不满意,因为Laserfiche出于种种原因没能全面修复所有产品版本中的漏洞。
Laserfiche公司表示,“请注意,部分版本的更新目前尚未发布。”
“我们认为应抓紧时间向各解决方案供应商及客户发布漏洞情况与可用更新。很快,针对部分Laserfiche Forms先前版本的安全更新就会公开发布。”
Laserfiche还发布了一款清理工具,可供客户清除门户网站中的未授权上传内容。