ИБ-исследователь Зак Эдвардс обнаружил, что на многих правительственных и военных сайтах США, использующих домены .gov и .mil, размещен контент, содержащий порнографию и различный спам, например, рекламу виагры, игровой валюты для Roblox, генераторы подарочных карт Xbox и так далее.

Эдвардс быстро выяснил, что все эти сайты объединяло использование одного и того же софта, предоставленного государственным подрядчиком Laserfiche. Эта компания оказывает услуги ФБР, ЦРУ, Казначейству США, военным и другим государственным органам.

Оказалось, что продукт Laserfiche Forms содержит уязвимость, которая позволяет злоумышленникам размещать вредоносный и спамерский контент на авторитетных государственных ресурсах. Так, исследователь отслеживал уязвимость более года и обнаружил, что сайты сенатора США Джона Тестера и Национальной гвардии Миннесоты, к примеру, направляли пользователей на ресурсы по продаже виаргры.

«Уязвимость использовалась для создания фишинговых приманок на доменах .gov и .mil, которые подталкивали посетителей к вредонсоным перенаправлениям и подвергали их риску использования других эксплоитов», — рассказывает Эдвардс.

Своими выводами о проблемах, найденных примерно на 50 различных государственных поддоменах, эксперт поделился в видео, а также показал уязвимость в действии.

Разработчики Laserfiche уже выпустили патч для этого бага, а также опубликовали инструкции о том, как очистить сайт от спама. Согласно заявлению компании, корнем проблемы была уязвимость, связанная с загрузкой файлов без аутентификации. Дело в том, что в Laserfiche Forms есть общедоступная форма, которая допускает загрузку файлов. К ней могут получить доступ неаутентифицированные пользователи, в итоге загрузив файлы на чужой сайт и сделав контент доступным в сети.

Хотя большинство правительственных клиентов компании уже очистили свои ресурсы от спама, Эдвардс пишет, что Laserfiche все же не устранила уязвимость во всех версиях своего продукта, и некоторыми из них все еще злоупотребляют хакеры. В компании уверяют, что обновления безопасности для ряда предыдущих версий Laserfiche Forms ожидаются в скором будущем.

Источник: xakep