Bild: Dzelat/Shutterstock
FBI har lagt skulden för en helgens falska e-postincident på en felaktig konfiguration i dess Law Enforcement Enterprise Portal (LEEP) som gjorde att e-postmeddelanden kunde skickas från domänen ic.fbi.gov.
“LEEP är FBI IT-infrastruktur som används för att kommunicera med vår statliga och lokala brottsbekämpande partner”, stod det.
“Medan det olagliga e-postmeddelandet härrörde från en FBI-driven server, var den servern dedikerad till att skicka meddelanden för LEEP och var inte en del av FBI:s företags-e-posttjänst. Ingen aktör kunde komma åt eller äventyra någon data eller PII på FBI:s nätverk.”
FBI sa att de till en början tog den “påverkade hårdvaran” snabbt offline, och sa senare att det snabbt åtgärdade “programvarusårbarheten” samt bekräftade dess nätverksintegritet.
Spamhaus sa det. såg två vågor av e-post skickas.
Brain Krebs rapporterade att avsändaren av e-postmeddelandena fann att de kunde skicka e-postmeddelanden eftersom FBI genererade en engångskod på klientsidan för att registrera sig för ett nytt konto på LEEP, och den skickades tillsammans med ett e-postämne och text som en POST-begäran till FBI:s servrar. Genom att manipulera förfrågningsparametrarna kunde e-postmeddelandena skickas, och ett skript användes för att automatisera sändningsprocessen.
Det verkar som om alla så kallade felkonfigurationer och mjukvarusårbarheter låg i sättet som FBI hade sin portal byggd, med körsbäret ovanpå hur det exponerade och skickade användarinmatning till en e-postserver. Ganska pinsamt och värdigt ett dussin ansiktshandflator, åtminstone.
Säkerhet
Exchange Server-bugg: Patch omedelbart, varnar Microsoft Genomsnittlig ransomware-betalning för amerikanska offer för mer än 6 miljoner USD Microsoft Patch Tisdag: 55 buggar squashed, två under aktiv exploatering. Misstänkt REvil ransomware affiliates arresterade. Det bästa nätfiskemålet? Din smartphone Varför du behöver denna säkerhetsnyckel på 29 $ Regering – USA | Säkerhets-TV | Datahantering | CXO | Datacenter