Sanal bir tur çerçevesindeki siteler arası komut dosyası (XSS) güvenlik açığı, kötü niyetli aktörler tarafından, arama sonuçlarını manipüle etmek ve bir spam reklam kampanyasını ölçekte körüklemek amacıyla yüzlerce web sitesine kötü amaçlı komut dosyaları enjekte etmek için silahlandırılmıştır.
Güvenlik Araştırmacısı Oleg Zaytsev, Hacker News ile paylaşılan bir raporda, kampanyanın dublajını söyledi. 360xss – Devlet portalları, ABD eyalet hükümet siteleri, Amerikan üniversiteleri, büyük otel zincirleri, haber kuruluşları, otomobil bayileri ve birkaç Fortune 500 şirketi de dahil olmak üzere 350’den fazla web sitesi etkilendi.
“Bu sadece bir spam operasyonu değildi,” söz konusu. Diyerek şöyle devam etti: “Güvenilir alanların endüstriyel ölçekli bir kötüye kullanımı idi.”
Tüm bu web sitelerinin ortak bir yanı var: Krpano Bu, etkileşimli sanal turları ve VR deneyimlerini kolaylaştırmak için 360 ° görüntü ve video yerleştirmek için kullanılır.
Zaytsev, Google Search’te listelenen ancak Yale Üniversitesi ile ilişkili bir alan ile pornografiyle ilgili bir reklamla karşılaştıktan sonra kampanyayı tökezlediğini söyledi (“VirtualTour.quantuminstitute.yale[.]Edu “).
Bu URL’lerin dikkate değer bir yönü, site ziyaretçisini başka bir meşru web sitesine ait olan ikinci bir URL’ye yönlendirmek için tasarlanmış bir XML parametresidir ve daha sonra bir XML belgesi aracılığıyla Base64 kodlu bir yükü yürütmek için kullanılır. Kod çözülmüş yük, kendi adına, hedef URL’yi (yani reklam) başka bir meşru siteden getirir.
Arama sonuçlarında sunulan orijinal URL’de geçirilen XML parametresi, daha geniş bir yapılandırma ayarının bir parçasıdır “Passqueryparameters“Bu kullanılmış Ne zaman Krpano Panorama izleyicisini gömmek bir HTML sayfasına. HTTP parametrelerini URL’den izleyiciye aktarmak için özel olarak tasarlanmıştır.
Buradaki güvenlik sorunu, seçenek etkinleştirilirse, bir saldırganın savunmasız site ziyaret edildiğinde bir kurbanın web tarayıcısında kötü amaçlı bir komut dosyası yürütmek için özel olarak hazırlanmış bir URL kullanabileceği bir senaryoya kapıyı açmasıdır.
Gerçekten de, bu davranışın bir sonucu olarak ortaya çıkan yansıyan bir XSS kusuru, 2020’nin sonlarında Krpano’da açıklandı (CVE-2020-24901CVSS puanı: 6.1), Kötüye kullanım potansiyeli dört yılı aşkın bir süredir bilinmektedir.
Sürüm 1.20.10’da tanıtılan bir güncelleme, “PassqueryParameters” ı bu tür XSS saldırılarının gerçekleşmesini önlemek amacıyla bir izin listesiyle sınırlandırırken, Zaytsev, XML parametresini açıkça XSS riskini yeniden başlattığını buldu.
“1.20.10 sürümünden beri, Krpano’nun varsayılan kurulumu savunmasız değildi.” “Ancak, PassqueryParametreyi XML parametresi ile kombinasyon halinde yapılandırmak, URL üzerinden harici XML yapılandırmasına izin vererek XSS riskine yol açtı.”
“Karşılaştığım sömürülen sürümler, 1.20.10 sürümünü önleyen öncelikle daha eski sürümlerdi.”
Zaytsev’e göre kampanya, pornografi, diyet takviyeleri, çevrimiçi casinolar ve sahte haber siteleri ile ilgili kabataslak reklamlara hizmet etmek için bu zayıflığı 350’den fazla siteyi ele geçirmek için kullandı. Dahası, bu sayfaların bazıları YouTube video görüntülerini artırmak için silahlandırıldı.
Kampanya dikkat çekicidir, en azından meşru alanların güvenini ve güvenilirliğini, arama sonuçlarında belirgin bir şekilde ortaya çıkması için kötüye kullandığı için, Arama Motoru Optimizasyonu (SEO) Zehirlenmesibu da XSS kusurunu kötüye kullanılarak gerçekleştirilir.
Zaytsev, “Yansıtılan bir XSS eğlenceli bir güvenlik açığıdır, ancak kendi başına kullanıcı etkileşimi gerektirir ve en büyük zorluklardan biri, insanların yansıtılan XSS bağlantınızı tıklamasını sağlamaktır.” Dedi. “Bu yüzden arama motorlarını XSS’niz için bir dağıtım platformu olarak kullanmak, bunu yapmanın çok yaratıcı ve harika bir yoludur.”
Sorumlu açıklamayı takiben, KRPANO’nun son sürümü, XML parametresi aracılığıyla harici yapılandırma desteğini ortadan kaldırır, böylece ayar kullanıldığında bile XSS saldırıları riskini azaltır.
“Geliştirilmiş EmedPano () PassqueryParameters Güvenlik: veri-urls ve harici URL’lere genellikle parametre değerleri ve XML parametresi için URL’ler mevcut klasör yapısında olması sınırlıdır.” Sürüm Notları Sürüm 1.22.4 için bu hafta yayınlandı.
Şu anda büyük operasyonun arkasında kimin olduğu bilinmemekle birlikte, bir XSS kusurunun kötüye kullanılması, kimlik bilgisi veya kurabiye hırsızlığı gibi daha hain saldırılar yapmanın aksine, bunlara hizmet eden şüpheli uygulamalara sahip bir reklam firması olasılığını artırır. para kazanma stratejisi olarak reklamlar.
Krpano kullanıcılarına kurulumlarını en son sürüme güncellemeleri ve “PassqueryParameters” ayarını False olarak ayarlamaları önerilir. Etkilenen web sitesi sahiplerinin Google Arama Konsolu üzerinden enfekte olmuş sayfaları bulması ve kaldırması önerilir.
