Una vulnerabilità di script incrociate (XSS) in un quadro turistico virtuale è stata armonizzata da attori dannosi per iniettare script dannosi su centinaia di siti Net con l’obiettivo di manipolare i risultati di ricerca e alimentare una campagna di annunci di spam su vasta scala.
Il ricercatore della sicurezza Oleg Zaytsev, in un rapporto condiviso con gli hacker Information, ha affermato la campagna: soprannominata 360XSS – Colpito oltre 350 siti Net, tra cui portali governativi, siti governativi statali degli Stati Uniti, università americane, principali catene alberghiere, notiziari, concessionari di automobili e various società Fortune 500.
“Questa non period solo un’operazione di spam”, il ricercatore disse. “È stato un abuso su scala industriale di domini di fiducia.”
Tutti questi siti Net hanno una cosa in comune: un framework popolare chiamato Krpano È usato per incorporare immagini e video a 360 ° per facilitare i tour virtuali interattivi ed esperienze VR.
Zaytsev ha dichiarato di essere inciampato nella campagna dopo aver incontrato un annuncio relativo alla pornografia elencata sulla ricerca di Google ma con un dominio associato alla Yale College (“VirtualTour.quantuminstitute.yale (.) Edu”).
Un aspetto notevole di questi URL è un parametro XML progettato per reindirizzare il visitatore del sito a un secondo URL che appartiene a un altro sito Net legittimo, che viene quindi utilizzato per eseguire un payload codificato da Base64 tramite un documento XML. Il carico utile decodificato, da parte sua, prende l’URL goal (cioè l’annuncio) da un altro sito legittimo.
Il parametro XML passato nell’URL originale servito nei risultati di ricerca fa parte di un’impostazione di configurazione più ampia denominata “PassqueryParameters“Questo è usato Quando Incorporare uno spettatore panoramico di Krpano in una pagina HTML. È specificamente progettato per passare i parametri HTTP dall’URL allo spettatore.
Il problema della sicurezza qui è che se l’opzione è abilitata, apre la porta a uno state of affairs in cui un utente malintenzionato potrebbe utilizzare un URL appositamente realizzato per eseguire uno script dannoso nel browser Net di una vittima quando viene visitato il sito vulnerabile.
Anzi, a difetto XSS riflesso Nascosto a seguito di questo comportamento è stato divulgato a Krpano alla wonderful del 2020 (CVE-2020-24901Punteggio CVSS: 6.1), indicando che il potenziale per abusi è noto pubblicamente da oltre quattro anni.
Mentre un aggiornamento introdotto nella versione 1.20.10 ha limitato “PassqueryParameters” a una lista di consumo nel tentativo di impedire che tali attacchi XSS si svolgano, ZaytSev ha scoperto che l’aggiunta esplicita del parametro XML alla lista di consumo ha reintrodotto il rischio XSS.
“Dalla versione 1.20.10, l’installazione predefinita di Krpano non period vulnerabile”, ha detto il ricercatore all’Hacker Information by way of e -mail. “Tuttavia, configurazione di PassqueryParameter in combinazione con il parametro XML consentito la configurazione XML esterna tramite l’URL, portando a un rischio XSS.”
“Le versioni sfruttate che ho incontrato erano principalmente più vecchie, che precedono la versione 1.20.10.”
La campagna, per Zaytsev, ha sfruttato questa debolezza per dirottare oltre 350 siti per servire annunci abbozzati relativi a pornografia, integratori dietetici, casinò on-line e siti di notizie false. Inoltre, alcune di queste pagine sono state ardonizzate per aumentare le visualizzazioni dei video di YouTube.
La campagna è degna di nota, non da ultimo perché abusa della fiducia e della credibilità dei domini legittimi per presentarsi in modo prominente nei risultati di ricerca, una tecnica chiamata avvelenamento da ottimizzazione dei motori di ricerca (search engine marketing)che, a sua volta, si ottiene abusando del difetto XSS.
“Un XSS riflesso è una vulnerabilità divertente ma da sola richiede l’interazione dell’utente e una delle maggiori sfide è far clic sulle persone al collegamento XSS riflesso”, ha detto Zaytsev. “Quindi usare i motori di ricerca come piattaforma di distribuzione per il tuo XSS è un modo molto creativo e interessante per farlo.”
Dopo la divulgazione responsabile, l’ultima versione di Krpano elimina il supporto per la configurazione esterna tramite il parametro XML, mitigando così il rischio di attacchi XSS anche quando viene utilizzata l’impostazione.
“La sicurezza di EmbedPanO () PassqueryParameters Word di rilascio Per la versione 1.22.4 rilasciata questa settimana.
Al momento non è noto chi è dietro la massiccia operazione, sebbene l’abuso di un difetto XSS per servire solo reindirizzamenti, invece di eseguire attacchi più nefasti come le credenziali o il furto di cookie, aumenta la possibilità di una società pubblicitaria con pratiche discutibili che sta servendo questi annunci come strategia di monetizzazione.
Si consiglia agli utenti di Krpano di aggiornare le loro installazioni all’ultima versione e impostare l’impostazione “PassqueryParameters” su False. Si consiglia ai proprietari di siti Net interessati di trovare e rimuovere le pagine infette tramite Google Search Console.
