研究人員發(fā)現(xiàn)，近一年來約50個(gè)美國(guó)政軍網(wǎng)站經(jīng)常出現(xiàn)色情和垃圾內(nèi)容，多次反饋下線又重新出現(xiàn)，包括參議員Jon Tester網(wǎng)站、明尼蘇達(dá)州國(guó)民警衛(wèi)隊(duì)網(wǎng)站等；

　　經(jīng)分析，這些網(wǎng)站都使用了同一個(gè)軟件Laserfiche Forms，該軟件的一個(gè)文件上傳漏洞遭大量利用，攻擊者可上傳發(fā)布不良內(nèi)容；

　　Laserfiche已發(fā)布清理工具和修復(fù)補(bǔ)丁，但還有部分版本目前沒有得到修復(fù)。

　　去年至今，多個(gè)使用。gov及。mil域名的美國(guó)政府和軍隊(duì)網(wǎng)站被發(fā)現(xiàn)托管有色情及垃圾內(nèi)容，其中包括偉哥廣告。

　　一位安全研究人員注意到，所有這些站點(diǎn)都使用著同一家軟件供應(yīng)商。

　　色情美國(guó)

　　安全研究人員Zach Edwards發(fā)現(xiàn)，。gov及。mil域名中出現(xiàn)色情內(nèi)容問題的源頭是政府承包商Laserfiche提供的通用軟件產(chǎn)品。

　　Laserfiche目前為FBI、CIA、美國(guó)財(cái)政部、軍方及眾多其他政府機(jī)構(gòu)提供服務(wù)。

　　Laserfiche旗下的電子表格（Forms）產(chǎn)品存在一個(gè)漏洞，允許攻擊者在擁有良好信譽(yù)的政府網(wǎng)站上推送惡意與垃圾內(nèi)容。

　　可以看到，谷歌能夠索引出政府網(wǎng)站上的垃圾內(nèi)容

　　發(fā)現(xiàn)并披露該問題的Edwards表示，“這個(gè)漏洞給。gov與。mil域帶來了網(wǎng)絡(luò)釣魚誘餌，會(huì)將訪問者重新定向至惡意目的地，并可能配合其他漏洞共同發(fā)起攻擊。”

　　經(jīng)過一年多的漏洞追蹤，Edwards發(fā)現(xiàn)美國(guó)參議員Jon Tester的網(wǎng)站與明尼蘇達(dá)州國(guó)民警衛(wèi)隊(duì)站點(diǎn)都會(huì)將用戶跳轉(zhuǎn)至偉哥產(chǎn)品頁(yè)面。

　　他還分享了一段視頻，展示了該漏洞的實(shí)際效果，并表示他“大約在50個(gè)不同的政府網(wǎng)站子域上”發(fā)現(xiàn)了類似的情況。

　　這當(dāng)然不是垃圾傳播分子的唯一獲利手段。此前，攻擊者還曾濫用國(guó)家氣象局等政府網(wǎng)站為了搜索引擎優(yōu)化而開放的重新定向功能，將用戶重新定向至色情網(wǎng)站。

　　Laiserfiche發(fā)布清理工具，

　　但部分版本并未得到修復(fù)

　　Laserfiche目前已經(jīng)發(fā)布了針對(duì)此項(xiàng)漏洞的安全公告，并給出網(wǎng)站垃圾內(nèi)容的清除說明。

　　根據(jù)Laserfiche公司的介紹，問題的根本原因在于未經(jīng)身份驗(yàn)證的文件上傳漏洞。

　　Laserfiche Forms中包含一個(gè)具備文件上傳字段的公開表單。未經(jīng)身份驗(yàn)證的外部人士可以訪問該表單，借此將文件上傳至其他用戶的Web門戶，這樣發(fā)布的內(nèi)容就能在網(wǎng)絡(luò)上接受臨時(shí)訪問。

　　該公司在安全公告中表示，“本公告中提及的漏洞已經(jīng)遭到某種方式的利用，未經(jīng)身份驗(yàn)證的第三方可以使用Laserfiche Forms臨時(shí)托管并分發(fā)所上傳的文件。”

　　“有效的客戶表單提交數(shù)據(jù)并不受影響，第三方無法訪問這部分內(nèi)容。我們的安全更新縮短了臨時(shí)文件下載鏈接處于活動(dòng)狀態(tài)的時(shí)長(zhǎng)，從而解決了此項(xiàng)漏洞。”

　　目前似乎已經(jīng)有政府客戶在采取補(bǔ)救措施，前文提到的部分搜索結(jié)果（之前顯示為垃圾內(nèi)容）現(xiàn)在會(huì)通過Laserfiche Forms實(shí)例彈出錯(cuò)誤：

　　訪問垃圾鏈接時(shí)，運(yùn)行Laserfiche Forms的政府網(wǎng)站現(xiàn)在會(huì)彈出錯(cuò)誤

　　但Edwards對(duì)這樣的結(jié)果并不滿意，因?yàn)長(zhǎng)aserfiche出于種種原因沒能全面修復(fù)所有產(chǎn)品版本中的漏洞。

　　Laserfiche公司表示，“請(qǐng)注意，部分版本的更新目前尚未發(fā)布。”

　　“我們認(rèn)為應(yīng)抓緊時(shí)間向各解決方案供應(yīng)商及客戶發(fā)布漏洞情況與可用更新。很快，針對(duì)部分Laserfiche Forms先前版本的安全更新就會(huì)公開發(fā)布。”

　　Laserfiche還發(fā)布了一款清理工具，可供客戶清除門戶網(wǎng)站中的未授權(quán)上傳內(nèi)容。