1
| 本文作者: 又田 | 2019-02-21 17:33 |
雷鋒網(wǎng)2月21日消息,近日,安恒明鑒網(wǎng)站安全監(jiān)測(cè)平臺(tái)和應(yīng)急響應(yīng)中心監(jiān)測(cè)發(fā)現(xiàn)近百起黨政機(jī)關(guān)網(wǎng)站被植入色情廣告頁(yè)面,分析發(fā)現(xiàn)被植入色情廣告頁(yè)面的網(wǎng)站都使用了KindEditor編輯器組件。
本次安全事件主要由upload_json.*上傳功能文件允許被直接調(diào)用從而實(shí)現(xiàn)上傳htm,html,txt等文件到服務(wù)器,在實(shí)際已監(jiān)測(cè)到的安全事件案例中,上傳的htm,html文件中存在包含跳轉(zhuǎn)到違法色情網(wǎng)站的代碼,攻擊者主要針對(duì)黨政機(jī)關(guān)網(wǎng)站實(shí)施批量上傳,建議使用該組件的網(wǎng)站系統(tǒng)盡快做好安全加固配置,防止被惡意攻擊。
根據(jù)對(duì)GitHub代碼版本測(cè)試,<= 4.1.11的版本上都存在上傳漏洞,即默認(rèn)有upload_json.*文件保留,但在4.1.12版本中該文件已經(jīng)改名處理了,改成了upload_json.*.txt和file_manager_json.*.txt,從而再調(diào)用該文件上傳時(shí)將提示不成功。
本次漏洞級(jí)別為高危,目前針對(duì)該漏洞的攻擊活動(dòng)正變得活躍,建議盡快做好安全加固配置。
安全運(yùn)營(yíng)方面建議:直接刪除upload_json.*和file_manager_json.*即可。
安全開發(fā)生命周期(SDL)建議:KindEditor編輯器早在2017年就已被披露該漏洞詳情,建議網(wǎng)站建設(shè)單位經(jīng)常關(guān)注其系統(tǒng)使用的框架、依賴庫(kù)、編輯器等組件的官方安全更新公告。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
