{"id":1598390,"date":"2025-02-26T19:25:15","date_gmt":"2025-02-26T19:25:15","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-hackers-explotaron-la-falla-del-marco-de-krpano-para-inyectar-anuncios-de-spam-en-mas-de-350-sitios-web\/"},"modified":"2025-02-26T19:25:20","modified_gmt":"2025-02-26T19:25:20","slug":"los-hackers-explotaron-la-falla-del-marco-de-krpano-para-inyectar-anuncios-de-spam-en-mas-de-350-sitios-web","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-hackers-explotaron-la-falla-del-marco-de-krpano-para-inyectar-anuncios-de-spam-en-mas-de-350-sitios-web\/","title":{"rendered":"Los hackers explotaron la falla del marco de Krpano para inyectar anuncios de spam en m\u00e1s de 350 sitios web"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Los-hackers-explotaron-la-falla-del-marco-de-Krpano-para.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Una vulnerabilidad de secuencias de comandos de sitios (XSS) en un marco de gira virtual ha sido armado por actores maliciosos para inyectar guiones maliciosos en cientos de sitios web con el objetivo de manipular los resultados de b\u00fasqueda y alimentar una campa\u00f1a de anuncios de spam a escala.<\/p>\n<p>El investigador de seguridad Oleg Zaytsev, en un informe compartido con The Hacker News, dijo la campa\u00f1a, doblada <strong>360xss<\/strong> &#8211; Afect\u00f3 a m\u00e1s de 350 sitios web, incluidos portales gubernamentales, sitios del gobierno estatal de los Estados Unidos, universidades estadounidenses, cadenas hoteleras principales, medios de comunicaci\u00f3n, concesionarios de autom\u00f3viles y varias compa\u00f1\u00edas Fortune 500.<\/p>\n<p>&#8220;Esto no fue solo una operaci\u00f3n de spam&#8221;, el investigador <a rel=\"noopener nofollow\" href=\"https:\/\/olegzay.com\/360xss\/\" target=\"_blank\">dicho<\/a>. &#8220;Fue un abuso a escala industrial de dominios de confianza&#8221;.<\/p>\n<p>Todos estos sitios web tienen una cosa en com\u00fan: un marco popular llamado <a rel=\"noopener nofollow\" href=\"https:\/\/krpano.com\/home\/\" target=\"_blank\">Krpano<\/a> Eso se usa para incrustar im\u00e1genes y videos de 360 \u200b\u200b\u00b0 para facilitar los recorridos virtuales interactivos y las experiencias de realidad virtual. <\/p>\n<p>Zaytsev dijo que se top\u00f3 con la campa\u00f1a despu\u00e9s de encontrarse con un anuncio relacionado con la pornograf\u00eda que figura en la b\u00fasqueda de Google pero con un dominio asociado con la Universidad de Yale (&#8220;VirtualTour.quantuminstitute.yale[.]edu &#8220;).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Un aspecto notable de estas URL es un par\u00e1metro XML dise\u00f1ado para redirigir al visitante del sitio a una segunda URL que pertenece a otro sitio web leg\u00edtimo, que luego se utiliza para ejecutar una carga \u00fatil codificada Base64 a trav\u00e9s de un documento XML. La carga \u00fatil decodificada, por su parte, obtiene la URL objetivo (es decir, el anuncio) de otro sitio leg\u00edtimo.<\/p>\n<p>El par\u00e1metro XML aprobado en la URL original que se sirve en los resultados de b\u00fasqueda es parte de una configuraci\u00f3n m\u00e1s amplia llamada &#8220;<a rel=\"noopener nofollow\" href=\"https:\/\/krpano.com\/docu\/embedpano\/#passQueryParameters\" target=\"_blank\">PassQueryParameters<\/a>&#8221; eso es <a rel=\"noopener nofollow\" href=\"https:\/\/krpano.com\/docu\/embedpano\/#embeddingparameters\" target=\"_blank\">usado<\/a> cuando <a rel=\"noopener nofollow\" href=\"https:\/\/krpano.com\/docu\/embedpano\/#embedpano\" target=\"_blank\">incrustando un espectador de Krpano Panorama<\/a> en una p\u00e1gina HTML. Est\u00e1 espec\u00edficamente dise\u00f1ado para pasar los par\u00e1metros HTTP de la URL al espectador.<\/p>\n<p>El problema de seguridad aqu\u00ed es que si la opci\u00f3n est\u00e1 habilitada, abre la puerta a un escenario en el que un atacante podr\u00eda usar una URL especialmente elaborada para ejecutar un gui\u00f3n malicioso en el navegador web de una v\u00edctima cuando se visite el sitio vulnerable.<\/p>\n<p>De hecho, se revel\u00f3 una falla de XSS reflejada como resultado de este comportamiento en Krpano a fines de 2020 (<a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-24901\" target=\"_blank\">CVE-2020-24901<\/a>Puntaje CVSS: 6.1), lo que indica que el <a rel=\"noopener nofollow\" href=\"https:\/\/packetstorm.news\/files\/id\/159477\" target=\"_blank\">potencial de abuso<\/a> ha sido conocido p\u00fablicamente por m\u00e1s de cuatro a\u00f1os.<\/p>\n<p>Mientras que una actualizaci\u00f3n introducida en la versi\u00f3n 1.20.10 &#8220;PassQueryParameters&#8221; restringida a una lista de algod\u00edn en un intento de evitar que se produjeran tales ataques XSS, Zaytsev descubri\u00f3 que agreg\u00f3 expl\u00edcitamente el par\u00e1metro XML a la lista de alquiler reintrodujo el riesgo de XSS.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1740597914_178_Los-hackers-explotaron-la-falla-del-marco-de-Krpano-para.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1740597914_178_Los-hackers-explotaron-la-falla-del-marco-de-Krpano-para.png\" alt=\"\" border=\"0\" data-original-height=\"802\" data-original-width=\"728\"\/><\/a><\/div>\n<p>&#8220;Desde la versi\u00f3n 1.20.10, la instalaci\u00f3n predeterminada de Krpano no fue vulnerable&#8221;, dijo el investigador a The Hacker News por correo electr\u00f3nico. &#8220;Sin embargo, la configuraci\u00f3n de PassQueryParameter en combinaci\u00f3n con el par\u00e1metro XML permiti\u00f3 la configuraci\u00f3n XML externa a trav\u00e9s de la URL, lo que lleva a un riesgo de XSS&#8221;.<\/p>\n<p>&#8220;Las versiones explotadas que he encontrado fueron principalmente las m\u00e1s antiguas, anteriores a la versi\u00f3n 1.20.10&#8221;.<\/p>\n<p>La campa\u00f1a, seg\u00fan Zaytsev, ha aprovechado esta debilidad para secuestrar m\u00e1s de 350 sitios para publicar anuncios incompletos relacionados con pornograf\u00eda, suplementos de dieta, casinos en l\u00ednea y sitios de noticias falsas. Adem\u00e1s, algunas de estas p\u00e1ginas han sido armadas para aumentar las vistas de video de YouTube.<\/p>\n<p>La campa\u00f1a es notable, sobre todo porque abusa de la confianza y la credibilidad de los dominios leg\u00edtimos para aparecer prominentemente en los resultados de b\u00fasqueda, una t\u00e9cnica llamada <a rel=\"noopener nofollow\" href=\"https:\/\/www.crowdstrike.com\/en-us\/cybersecurity-101\/social-engineering\/seo-poisoning\/\" target=\"_blank\">Comenzamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO)<\/a>que, a su vez, se logra abusando de la falla XSS.<\/p>\n<p>&#8220;Un XSS reflejado es una vulnerabilidad divertida, pero por s\u00ed solo requiere la interacci\u00f3n del usuario, y uno de los mayores desaf\u00edos es hacer que las personas hagan clic en su enlace XSS reflejado&#8221;, dijo Zaytsev. &#8220;Por lo tanto, usar los motores de b\u00fasqueda como plataforma de distribuci\u00f3n para su XSS es una forma muy creativa y genial de hacerlo&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738386538_999_La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Despu\u00e9s de la divulgaci\u00f3n responsable, la \u00faltima versi\u00f3n de Krpano elimina el soporte para la configuraci\u00f3n externa a trav\u00e9s del par\u00e1metro XML, mitigando as\u00ed el riesgo de ataques XSS incluso cuando se usa la configuraci\u00f3n.<\/p>\n<p>&#8220;Seguridad mejorada de incrustpano () passQueryParameters: las URL de datos y las URL externas generalmente no est\u00e1n permitidas ya que los valores de los par\u00e1metros y las URL para el par\u00e1metro XML est\u00e1n limitadas para estar dentro de la estructura de la carpeta actual&#8221;, seg\u00fan el <a rel=\"noopener nofollow\" href=\"https:\/\/krpano.com\/docu\/releasenotes\/?version=122#top\" target=\"_blank\">notas de lanzamiento<\/a> Para la versi\u00f3n 1.22.4 lanzada esta semana.<\/p>\n<p>Actualmente no se sabe qui\u00e9n est\u00e1 detr\u00e1s de la operaci\u00f3n masiva, aunque el abuso de un defecto de XSS para servir solo redirige, en lugar de llevar a cabo ataques m\u00e1s nefastos como credenciales o robo de cookies, plantea la posibilidad de una empresa publicitaria con pr\u00e1cticas cuestionables que sirven a estos anuncios como una estrategia de monetizaci\u00f3n.<\/p>\n<p>Se recomienda a los usuarios de Krpano que actualicen sus instalaciones a la \u00faltima versi\u00f3n y establezcan la configuraci\u00f3n &#8220;PassQueryParameters&#8221; en FALSO. Se recomienda a los propietarios de sitios web afectados para encontrar y eliminar p\u00e1ginas infectadas a trav\u00e9s de la consola de b\u00fasqueda de Google.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/hackers-exploited-krpano-framework-flaw.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una vulnerabilidad de secuencias de comandos de sitios (XSS) en un marco de gira virtual ha sido armado<\/p>\n","protected":false},"author":1,"featured_media":1598391,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,20284,4661,4664,38,35378,2503,6369,43007,282660,273784,36,273783,140,16,4654,273782,4659,4653,4655,18,246983,4665,246984,3260,12591,455,239484,3261],"class_list":["post-1598390","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-anuncios","tag-ataques-ciberneticos","tag-como-hackear","tag-del","tag-explotaron","tag-falla","tag-hackers","tag-inyectar","tag-krpano","tag-las-noticias-del-hacker","tag-los","tag-malware-de-ransomware","tag-marco","tag-mas","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sitios","tag-spam","tag-violacion","tag-vulnerabilidad-del-software","tag-web"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1598390","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1598390"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1598390\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1598391"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1598390"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1598390"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1598390"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}