Правительственные сайты США использовались для редиректа на порносайты

Правительственные сайты США использовались для редиректа на порносайты

В очередной кампании кибермошенники использовали уязвимости вида «открытый редирект» (open redirect), найденные на правительственных американских сайтах, для перенаправления посетителей на порнографические ресурсы.

Метод открытого редиректа злоумышленники использовали, чтобы пробраться в поисковую выдачу Google и других движков. В результате заголовок страницы в выдаче соответствует странице злоумышленника, а располагается контент будто на правительственном сайте.

На протяжении около двух недель мошенники скармливали специальные ссылки поисковым движкам. Анализировавшие кампанию специалисты показали, как это выглядело.

 

Администраторы правительственных ресурсов выбрали достаточно нелепую тактику борьбы с open redirect: они удаляли очередной открытый редирект, как только обнаруживали его. Но это, конечно, проблему не решало, потому что атакующие продолжали создавать новые редиректы.

Кроме того, злоумышленники не остановились на сайтах властей США или на конкретной CMS. Они ищут открытые редиректы на многих крупных онлайн-проектах. Одним из таких стала Национальная метеорологическая служба.

 

С помощью скрипта nwsexit.php мошенники смогли создать URL, ведущий на другой сайт. Например, такой:

https://www.weather.gov/nwsexit.php?url=http://example.com

Неполный список сайтов, ставших целью злоумышленников, приводим ниже:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Критическую дыру устранили в VMware Realize Business for Cloud

Специалист Positive Technologies Егор Димитренко выявил уязвимость в продукте VMware Realize Business for Cloud. Уязвимости можно присвоить статус критической, поэтому всем затронутым организациям рекомендуется как можно скорее установить уже готовые патчи.

Как известно, продукт VMware Realize Business for Cloud используется для визуализации и планирования расходов, а также анализа затрат и сравнения бизнес-показателей. Обнаруженная в нём брешь получила идентификатор CVE-2021-21984 и 9,8 баллов по шкале CVSSv3.

Как объяснил Димитренко, в случае эксплуатации уязвимость позволяет злоумышленнику, не прошедшему аутентификацию, удалённо выполнить команды на целевом устройстве. В результате атакующий сможет получить полный контроль над сервером жертвы и осуществлять вредоносные действия в инфраструктуре компании.

Баг возникает из-за некорректной настройки приложения, позволяющей посторонним получить доступ к «родной» функции обновления. Именно эта функция позволяет выполнять команды на сервере, поскольку задействуется механизм установки новых версий продукта.

«Основной причиной этих ошибок является недостаточное тестирование новых функциональных возможностей при выпуске очередной версии продукта», — объясняет эксперт Positive Technologies.

Чтобы устранить опасную брешь, пользователям достаточно пройти на официальный сайт VMware. На этой странице компания описывает уязвимость и даёт рекомендации по патчингу.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru