據(jù)報道，美國法院電子司法卷宗公共存取系統(tǒng)PACER存在的跨站請求偽造漏洞，這個存在時間長達30年的漏洞現(xiàn)已被修復(fù)。黑客可利用該漏洞劫持賬號，并檢索受害者的民事和刑事訴訟案件卷宗。

PACER是美國法院電子司法卷宗公共存取系統(tǒng)，可供用戶在線獲取聯(lián)邦上訴機構(gòu)、地區(qū)和破產(chǎn)法院的案件和訴訟事件表信息。PACER由聯(lián)邦司法機關(guān)提供，旨在通過集中式服務(wù)為用戶提供途徑訪問法院信息。PACER主要使用對象為律師和記者，提取文件中的PDF和網(wǎng)頁需付費10美分，每個文件至多3美元。

Free Law Project(提供法律資料、開發(fā)法律研究工具的組織)表示，攻擊者利用這個跨站請求偽造漏洞獲取任何訪客的PACER賬號，而賬號信息可被用來下載PDF，給受害者帶來經(jīng)濟損失。

美國法院系統(tǒng)PACER存在跨站請求偽造漏洞近30年 -E安全

研究人員表示，PACER使用Cookie存儲登錄憑證存在漏洞。由于這些Cookie未經(jīng)安全處理，任何網(wǎng)站只需通過一段JavaScript代碼就能調(diào)用這些Cookie，并檢索訪客的PACER登錄詳情。

研究人員發(fā)布了PoC(概念驗證)證明漏洞風(fēng)險并表示，PoC發(fā)布之前，該漏洞未被大肆利用。但對于PACER用戶而言，未付費會影響信譽，美國法院行政管理辦公室(Administrative Office of the US Courts)還會命人上門收欠款。

但更糟糕的是，PACER自上線開始(20世紀(jì)90年代)就可能存在該漏洞。Free Law Project于今年2月報告了該漏洞，本周三終于完全修復(fù)。

攻擊者可利用被竊取的賬號詳情免費瀏覽文件，但研究人員曾擔(dān)心登錄憑證被盜可能會帶來更嚴(yán)重的后果。