在lmgur上可利用恶意代码注入攻击4Chan和8Chan

最近在lmgur服务上发现一个严重的漏洞，该漏洞允许将恶意代码注入到流行网站的图片链接上。

         你的网站很流行吗?你的杰出的网站是犯罪份子们特定的目标，就在昨天，我报道了打击福布斯的恶意广告活动，今天我决定提出一种不同的攻击，这种攻击同样是非常危险的。

今天我们将谈论的是非常流行的网络服务，这种网络服务在青少年之间尤其流行，这种服务以一种网络论坛的形式，论坛上允许用户发布图片。这样的网络服务对青少年群体是很流行的，潜在拥有庞大的用户群体。现已有报道称，黑客利用在线图片分享社区Imgur的一个严重漏洞，将恶意代码隐藏在图片链接中，从而控制访问者的浏览器，并接管了4chan和8chan图像板。

目前，lmgur已经修复了该漏洞以防止上传恶意图片，但是，不管怎么样这证实了，攻击者们已经利用薄弱的网页进行目标攻击。根据lmgur，攻击在这些网页上已经被限制，并且不会影响该网站的主要画廊页面。

Lmgur社区负责人解释到：“昨天，一个严重的漏洞被发现，该漏洞可以利用对lmhur网页的图片链接进行恶意代码注入。”

”根据我们团队分析得到的来看，这似乎是专门针对使用4 chan和8chan在Reddit.com上使用lmgur的图片管理和分享工具进行特定图片分享的用户的。“

“该漏洞于昨天晚上被修复，并且我们不会再服务于受影响的图片，但是，作为一种防范措施，我们建议您清除您的浏览数据，COOKIEs和本地缓存。”

攻击是怎样实现的呢？

在受害者的本地缓存中注入一段带有攻击性的Javascript代码，用来ping到攻击者的命令以及在每次访问8chan时控制服务器。

许多包含恶意代码的图片被传送到4chan以及一个相关的Reddit subreddit页面。根据可获得的命令信息，攻击者的意图并不明确，被控制的服务器不会被用来发送命令到收感染的机器上。

Reddit的使用者反映，Javascript代码创建了一个关闭屏幕的iframe，并且植入了一个flash文件，该文件会lmgur的其他flash插件从而使得攻击看起来不那么可疑。

一个Reddit使用者说到：“这个文件将更多的Javascript代码注入到页面中，这看着就像是一个无害的皮卡丘动画图。”

“这个Javascript代码被存储到使用者的本地存储中，由于iframe被指定到8chan，这允许攻击者将Javascript代码传送到8chan的本地存储中。它的功能是发送一个get请求响应给8chan.pw，然后解密该响应。到目前为止还没有人能够看到来自该网络服务器的响应，这意味着它可能尚未激活或已被停用。其结果是，每当用户访问一个8chan页面时，它会反馈回去检查指令，然后执行Javascript代码。”

正如寄存器所报告的，各种各样的4chan版块都受到了攻击。

lmgur的安全团队已经实施了更多的控制来允许公布那些被认定为“有效”的图片文件以及阻止任何Javascript代码。

正如lmgur官方公布报道的，使用者被建议进行清除浏览数据，COOKIEs，以及本地缓存。