近期360安全中心监测到国内多家知名网站论坛系统遭遇挂马,涉及一些访问量数十万甚至上百万的大型论坛,包括威锋网、腾讯穿越火线论坛、迅雷论坛、大众论坛、莱芜在线等,甚至连一些黑客论坛也未能幸免,例如专门进行木马制售和免杀交流的小七论坛也遭遇同样手法的挂马。目前,这些论坛中部分已经修复了问题,但仍有一些知名论坛存在严重风险,任意注册用户都可以轻松挂马,利用热门帖等途径向论坛的其他用户发起直接攻击。
经调查,上述知名论坛被挂马攻击的漏洞全都是Flash漏洞。也就是说,当电脑使用老版本Adobe Flash Player的用户访问被挂马论坛时,如果没有专业安全软件保护,电脑在浏览挂马帖过程中就会自动下载运行木马。而这些被挂马的论坛,则都是使用了国内流行的Discuz!建站系统搭建的。
Discuz!论坛和Flash挂马有什么关联呢?
在Discuz!系统的论坛中,用户在发帖时可以通过[flash]标签,直接在帖子内嵌入来自任意网站的flash文件,这些flash文件在其他用户浏览对应的主题、帖子时,都是自动播放的,这一漏洞就给了攻击者非常便利,甚至非常定制化的攻击途径:攻击者只要将挂马的Flash文件直接嵌入论坛帖子中,等待贴主或任意访问论坛的用户打开帖子,攻击者就可以完全控制他们的电脑。
这一攻击形式相当灵活,对论坛进行挂马的攻击者既可以通过回帖到热门主题的方式,给论坛中的大量用户集中挂马,也可以针对对特定主题、特定内容、特定发帖人的帖子感兴趣的人做小范围“精准打击”,在不引起大部分人注意的前提下,对这些用户进行挂马,例如在腾讯穿越火线论坛的挂马案例中,有用户发帖称意外获得了礼包,紧接着就有挂马者随即跟进,在他的帖子下面挂马,使得贴主和其他围观群众被flash木马攻击。
安全中心在研究后发现,Discuz!论坛针对自动播放的[flash]标签是默认关闭的,而这些受影响的管理员,则不约而同地开启了这个标签的功能,导致了这个标签,从而导致论坛被挂马。
同时发现,另一流行论坛建站系统phpwind也受到该问题的影响,注册用户也可以在论坛主题和回帖中贴入直接播放的任意flash文件,导致挂马攻击的方式。
由于目前Flash漏洞的泛滥,安全中心建议目前使用允许直接嵌入flash文件的各大论坛站点,尽快关闭Flash嵌入功能,同时建议Discuz!等论坛厂商,加入对嵌入Flash标签的“白名单”功能。
来源:bobao.360.cn
原文始发于微信公众号(CNNVD安全动态):大批知名论坛被挂马,系Discuz!论坛标签权限设置不当
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论