Una vulnerabilidad de secuencias de comandos de sitios (XSS) en un ámbito de excursión posible ha sido armado por actores maliciosos para inyectar guiones maliciosos en cientos de sitios web con el objetivo de manipular los resultados de búsqueda y atizar una campaña de anuncios de spam a escalera.
El investigador de seguridad Oleg Zaytsev, en un crónica compartido con The Hacker News, dijo la campaña, doblada 360xss – Afectó a más de 350 sitios web, incluidos portales gubernamentales, sitios del gobierno estatal de los Estados Unidos, universidades estadounidenses, cadenas hoteleras principales, medios de comunicación, concesionarios de automóviles y varias compañías Fortune 500.
“Esto no fue solo una operación de spam”, dijo el investigador. “Fue un despotismo a escalera industrial de dominios de confianza”.
Todos estos sitios web tienen una cosa en global: un ámbito popular llamado Krpano que se usa para introducir imágenes y videos de 360 ° para allanar los recorridos virtuales interactivos y las experiencias de ingenuidad posible.
Zaytsev dijo que se topó con la campaña luego de encontrarse con un anuncio relacionado con la pornografía que figura en la búsqueda de Google pero con un dominio asociado con la Universidad de Yale (“VirtualTour.quantuminstitute.yale (.) Edu”).
Un aspecto importante de estas URL es un parámetro XML diseñado para redirigir al visitante del sitio a una segunda URL que pertenece a otro sitio web cierto, que luego se utiliza para ejecutar una carga útil codificada Base64 a través de un documento XML. La carga útil decodificada, por su parte, obtiene la URL objetivo (es afirmar, el anuncio) de otro sitio cierto.
El parámetro XML suficiente en la URL diferente que se sirve en los resultados de búsqueda es parte de una configuración más amplia de configuración emplazamiento “PassQueryParameters” que se usa al incorporar un visor panorámico Krpano en una página HTML. Está específicamente diseñado para ocurrir los parámetros HTTP de la URL al espectador.
El problema de seguridad aquí es que si la opción está habilitada, abre la puerta a un tablado en el que un atacante podría usar una URL especialmente elaborada para ejecutar un raya astuto en el navegador web de una víctima cuando se visite el sitio indefenso.
De hecho, se reveló una rotura XSS reflejada como resultado de este comportamiento en Krpano a fines de 2020 (CVE-2020-24901, puntaje CVSS: 6.1), lo que indica que el potencial de despotismo se ha conocido públicamente por más de cuatro abriles.
Mientras que una puesta al día introducida en la traducción 1.20.10 “PassQueryParameters” restringida a una repertorio de arrendamiento en un intento de evitar que se produjeran tales ataques XSS, Zaytsev descubrió que agregó explícitamente el parámetro XML a la repertorio de arrendamiento reintrodujo el peligro de XSS.
“Desde la traducción 1.20.10, la instalación predeterminada de Krpano no fue indefenso”, dijo el investigador a The Hacker News por correo electrónico. “Sin confiscación, la configuración de PassQueryParameter en combinación con el parámetro XML permitió la configuración XML externa a través de la URL, lo que lleva a un peligro de XSS”.
“Las versiones explotadas que he antagónico fueron principalmente las más antiguas, anteriores a la traducción 1.20.10”.
La campaña, según Zaytsev, ha aplicado esta cariño para secuestrar más de 350 sitios para anunciar anuncios incompletos relacionados con pornografía, suplementos de dieta, casinos en semirrecta y sitios de noticiero falsas. Por otra parte, algunas de estas páginas han sido armadas para aumentar las vistas de video de YouTube.
La campaña es importante, sobre todo porque abusa de la confianza y la credibilidad de los dominios legítimos para aparecer prominentemente en los resultados de búsqueda, una técnica emplazamiento envenenamiento de optimización de motores de búsqueda (SEO), que, a su vez, se logra al forzar de la rotura XSS.
“Un XSS reflejado es una vulnerabilidad divertida, pero por sí solo requiere la interacción del legatario, y uno de los mayores desafíos es hacer que las personas hagan clic en su enlace XSS reflejado”, dijo Zaytsev. “Por lo tanto, usar los motores de búsqueda como plataforma de distribución para su XSS es una forma muy creativa y maravilloso de hacerlo”.
Luego de la divulgación responsable, la última traducción de Krpano elimina el soporte para la configuración externa a través del parámetro XML, mitigando así el peligro de ataques XSS incluso cuando se usa la configuración.
“Seguridad mejorada de incruscano () PassQueryParameters: las URL de datos y las URL externos generalmente no están permitidas ya que los títulos de parámetros y las URL para el parámetro XML están limitadas para estar internamente de la estructura de la carpeta contemporáneo”, según las notas de la traducción para la traducción 1.22.4 lanzadas esta semana.
Actualmente no se sabe quién está detrás de la operación masiva, aunque el despotismo de un defecto de XSS para servir solo redirige, en puesto de admitir a angla ataques más nefastos como credenciales o robo de cookies, plantea la posibilidad de una empresa publicitaria con prácticas cuestionables que sirven a estos anuncios como una táctica de monetización.
Se recomienda a los usuarios de Krpano que actualicen sus instalaciones a la última traducción y establezcan la configuración “PassQueryParameters” en FALSO. Se recomienda a los propietarios de sitios web afectados para encontrar y eliminar páginas infectadas a través de la consola de búsqueda de Google.
