安全研究人员发现,多个使用.gov和.mil域名的美国政府网站托管色情和垃圾内容,例如伟哥广告,网站使用相同的软件小贩。美国政府网站托管“色情”和“垃圾邮件”9月18日,BleepingComputer披露,安全研究人员ZachEdwards发现,为FBI、CIA、美国财政部和军方等政府机构提供软件的Laserfiche公司正在给美国政府该机构提供的LaserficheForms软件产品中的一个漏洞可能允许攻击者在政府网站上推送恶意色情内容和垃圾邮件。包含被谷歌索引的垃圾邮件内容的政府网站(BleepingComputer)的ZachEdwards说,“这个漏洞在.gov和.mil域上创建网络钓鱼诱饵,将访问者推向恶意的这些受害者。在跟踪漏洞的过程中超过一个今年,他还发现美国参议员乔恩·泰斯特和明尼苏达州国民警卫队的网站将用户索引到伟哥产品的促销页面。这一事件表明,攻击者已经在国家气象局等政府网站上滥用重定向,将用户重定向到色情网站,提示垃圾邮件并不是攻击者唯一可以利用的攻击向量,Laiserfiche已经发布了清理工具,但并非所有版本都得到修复,最近Laserfiche发布了针对该漏洞的安全公告,以及如何清除垃圾邮件内容的说明该公司在安全公告中表示:攻击者正在利用政府的漏洞在部门网站上,未经身份验证的第三方可以使用LaserficheForms临时托管上传的文件并进行分发。根据Laserfiche的公告,客户提交的数据不会受到影响,但第三方攻击者无法访问。通过减少临时文件下载链接激活的时间,来解决这个漏洞。一些政府客户已经采取了补救措施,研究人员发现,在访问上述搜索结果(之前显示垃圾内容)时,现在通过LaserficheForms显示了错误的界面。运行LaserficheForms的政府网站在访问垃圾邮件链接时会抛出错误(BleepingComputer)研究员Edwards对Laserfiche的结果并不完全满意,该公司尚未修复其产品所有版本中的漏洞。Laserfiche的后续发布报告称,将漏洞和现有更新告知客户是重中之重,预计将很快为选定的LaserficheForms的先前版本提供安全更新。不久之后,Laserfiche发布了一个清理工具,客户可以使用该工具清除门户网站上未经授权的上传内容。参考链接:https://www.bleepingcomputer.com/news/security/us-govt-sites-showing-porn-viagra-ads-share-a-common-software-vendor/
