Понравилось? Поделитесь с друзьями!

ИБ-исследователь  Зак Эдвардс обнаружил, что на многих правительственных и военных сайтах США, использующих домены .gov и .mil, размещен контент, содержащий порнографию и различный спам, например, рекламу виагры,  игровой валюты для Roblox, генераторы подарочных карт Xbox и так далее.

Эдвардс быстро выяснил, что все эти сайты объединяло использование одного и того же софта, предоставленного государственным подрядчиком Laserfiche. Эта компания оказывает услуги ФБР, ЦРУ, Казначейству США, военным и другим государственным органам.

Оказалось, что продукт Laserfiche Forms содержит уязвимость, которая позволяет злоумышленникам размещать вредоносный и спамерский контент на авторитетных государственных ресурсах. Так, исследователь отслеживал уязвимость более года и обнаружил, что сайты сенатора США Джона Тестера  и Национальной гвардии Миннесоты, к примеру, направляли пользователей на ресурсы по продаже виаргры.

«Уязвимость использовалась для создания фишинговых приманок на доменах .gov и .mil, которые подталкивали посетителей к вредонсоным перенаправлениям и подвергали их риску использования других эксплоитов», — рассказывает Эдвардс.

Своими выводами о проблемах, найденных примерно на 50 различных государственных поддоменах, эксперт поделился в видео, а также показал уязвимость в действии.

Разработчики Laserfiche уже выпустили патч для этого бага, а также опубликовали инструкции о том, как очистить сайт от спама. Согласно заявлению компании, корнем проблемы была уязвимость, связанная с загрузкой файлов без аутентификации. Дело в том, что в Laserfiche Forms есть общедоступная форма, которая допускает загрузку файлов. К ней могут получить доступ неаутентифицированные пользователи, в итоге загрузив файлы на чужой сайт и сделав контент доступным в сети.

Хотя большинство правительственных клиентов компании уже очистили свои ресурсы от спама, Эдвардс пишет, что Laserfiche все же не устранила уязвимость во всех версиях своего продукта, и некоторыми из них все еще злоупотребляют хакеры. В компании уверяют, что обновления безопасности для ряда предыдущих версий Laserfiche Forms ожидаются в скором будущем.

— Найденное в Сети приложение позволяет создать дипфейк-порно за несколько кликов
— Девушка отдала мошеннику 1 млн. рублей за организацию карьеры в порнобизнесе
— Закрытие видеохостинга vid.me привело к появлению порнографии в его врезках

Источник

Понравилось? Поделитесь с друзьями!
– Больше новостей – в нашем Телеграме –

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий
Пожалуйста, введите свое имя