Правительственные и военные сайты распространяли порно и рекламировали виагру - «Новости»

  • 10:30, 19-сен-2021
  • Новости / Сайтостроение / Отступы и поля / Преимущества стилей / Вёрстка / Изображения / Видео уроки
  • Анисим
  • 0

ИБ-исследователь  Зак Эдвардс обнаружил, что на многих правительственных и военных сайтах США, использующих домены .gov и .mil, размещен контент, содержащий порнографию и различный спам, например, рекламу виагры,  игровой валюты для Roblox, генераторы подарочных карт Xbox и так далее.


Эдвардс быстро выяснил, что все эти сайты объединяло использование одного и того же софта, предоставленного государственным подрядчиком Laserfiche. Эта компания оказывает услуги ФБР, ЦРУ, Казначейству США, военным и другим государственным органам.


Оказалось, что продукт Laserfiche Forms содержит уязвимость, которая позволяет злоумышленникам размещать вредоносный и спамерский контент на авторитетных государственных ресурсах. Так, исследователь отслеживал уязвимость более года и обнаружил, что сайты сенатора США Джона Тестера  и Национальной гвардии Миннесоты, к примеру, направляли пользователей на ресурсы по продаже виаргры.





«Уязвимость использовалась для создания фишинговых приманок на доменах .gov и .mil, которые подталкивали посетителей к вредонсоным перенаправлениям и подвергали их риску использования других эксплоитов», — рассказывает Эдвардс.


Своими выводами о проблемах, найденных примерно на 50 различных государственных поддоменах, эксперт поделился в видео, а также показал уязвимость в действии.




Разработчики Laserfiche уже выпустили патч для этого бага, а также опубликовали инструкции о том, как очистить сайт от спама. Согласно заявлению компании, корнем проблемы была уязвимость, связанная с загрузкой файлов без аутентификации. Дело в том, что в Laserfiche Forms есть общедоступная форма, которая допускает загрузку файлов. К ней могут получить доступ неаутентифицированные пользователи, в итоге загрузив файлы на чужой сайт и сделав контент доступным в сети.


Хотя большинство правительственных клиентов компании уже очистили свои ресурсы от спама, Эдвардс пишет, что Laserfiche все же не устранила уязвимость во всех версиях своего продукта, и некоторыми из них все еще злоупотребляют хакеры. В компании уверяют, что обновления безопасности для ряда предыдущих версий Laserfiche Forms ожидаются в скором будущем.


ИБ-исследователь Зак Эдвардс обнаружил, что на многих правительственных и военных сайтах США, использующих домены .gov и .mil, размещен контент, содержащий порнографию и различный спам, например, рекламу виагры, игровой валюты для Roblox, генераторы подарочных карт Xbox и так далее. Эдвардс быстро выяснил, что все эти сайты объединяло использование одного и того же софта, предоставленного государственным подрядчиком Laserfiche. Эта компания оказывает услуги ФБР, ЦРУ, Казначейству США, военным и другим государственным органам. Оказалось, что продукт Laserfiche Forms содержит уязвимость, которая позволяет злоумышленникам размещать вредоносный и спамерский контент на авторитетных государственных ресурсах. Так, исследователь отслеживал уязвимость более года и обнаружил, что сайты сенатора США Джона Тестера и Национальной гвардии Миннесоты, к примеру, направляли пользователей на ресурсы по продаже виаргры. «Уязвимость использовалась для создания фишинговых приманок на доменах .gov и .mil, которые подталкивали посетителей к вредонсоным перенаправлениям и подвергали их риску использования других эксплоитов», — рассказывает Эдвардс. Своими выводами о проблемах, найденных примерно на 50 различных государственных поддоменах, эксперт поделился в видео, а также показал уязвимость в действии. Разработчики Laserfiche уже выпустили патч для этого бага, а также опубликовали инструкции о том, как очистить сайт от спама. Согласно заявлению компании, корнем проблемы была уязвимость, связанная с загрузкой файлов без аутентификации. Дело в том, что в Laserfiche Forms есть общедоступная форма, которая допускает загрузку файлов. К ней могут получить доступ неаутентифицированные пользователи, в итоге загрузив файлы на чужой сайт и сделав контент доступным в сети. Хотя большинство правительственных клиентов компании уже очистили свои ресурсы от спама, Эдвардс пишет, что Laserfiche все же не устранила уязвимость во всех версиях своего продукта, и некоторыми из них все еще злоупотребляют хакеры. В компании уверяют, что обновления безопасности для ряда предыдущих версий Laserfiche Forms ожидаются в скором будущем.

Другие новости

Рекомендуем

Комментарии (0)



Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!

Похожие новости дня

Видео уроки

Как заработать на фейсбук? - «Заработок в ...

Myragon — партнерка с оплатой за клики и действия ...

Опубликован дешифровщик для вымогателя ...

В Google Play нашли трояны, скачанные более 2,1 ...

Популярное


✔ Новости мира Интернет

ВАША РЕКЛАМА
ДОБАВИТЬ БАННЕР
      

Разное но интересное


Утечка: первые полчаса геймплея S.T.A.L.K.E.R. 2: Heart of Chornobyl - «Новости..

До релиза постапокалиптического шутера с открытым миром S.T.A.L.K.E.R. 2: Heart of Chornobyl от студии GSC Game World осталось меньше суток, однако некоторые обладатели ранних копий не удержались и...