Une vulnérabilité des scripts croisés (XSS) dans un cadre de tournée virtuel a été armée par des acteurs malveillants pour injecter des scripts malveillants sur des centaines de sites Web dans le but de manipuler les résultats de recherche et d’alimenter une campagne de publicité au spam à grande échelle.

Le chercheur en sécurité Oleg Zaytsev, dans un rapport partagé avec le Hacker News, a déclaré la campagne – surnommée 360xss – Affecté plus de 350 sites Web, notamment des portails gouvernementaux, des sites du gouvernement de l’État américain, des universités américaines, des chaînes hôtelières majeures, des médias, des concessionnaires automobiles et plusieurs sociétés du Fortune 500.

“Ce n’était pas seulement une opération de spam”, le chercheur dit. “C’était un abus à l’échelle industrielle des domaines de confiance.”

Tous ces sites Web ont une chose en commun: un cadre populaire appelé Krpano C’est utilisé pour intégrer des images et des vidéos à 360 ° pour faciliter les visites virtuelles interactives et les expériences VR.

Zaytsev a déclaré qu’il était tombé sur la campagne après avoir rencontré une annonce liée à la pornographie répertoriée sur Google Search mais avec un domaine associé à l’Université de Yale (“VirtualTour.quantuminstitute.yale[.]edu “).

Cybersécurité

Un aspect notable de ces URL est un paramètre XML qui est conçu pour rediriger le visiteur du site vers une deuxième URL qui appartient à un autre site Web légitime, qui est ensuite utilisé pour exécuter une charge utile codée de base64 via un document XML. La charge utile décodée, pour sa part, récupère l’URL cible (c’est-à-dire l’annonce) d’un autre site légitime.

Le paramètre XML passé dans l’URL d’origine servis dans les résultats de recherche fait partie d’un paramètre de configuration plus large nommé “paramètres de la passe“C’est utilisé quand Incorporer un téléspectateur de Krpano Panorama dans une page HTML. Il est spécifiquement conçu pour passer les paramètres HTTP de l’URL à la visionneuse.

Le problème de sécurité ici est que si l’option est activée, elle ouvre la porte à un scénario où un attaquant pourrait utiliser une URL spécialement conçue pour exécuter un script malveillant dans le navigateur Web d’une victime lorsque le site vulnérable est visité.

En effet, une faille XSS réfléchie résultant de ce comportement a été divulguée à Krpano fin 2020 (CVE-2020-24901Score CVSS: 6.1), indiquant que le potentiel d’abus est connu publiquement depuis plus de quatre ans.

Alors qu’une mise à jour introduite dans la version 1.20.10 “PassQueryParameters” restreinte à une liste d’autoroute pour tenter d’empêcher que ces attaques XSS aient lieu, ZaytSev a révélé que l’ajout explicite du paramètre XML à la liste d’autoroute a réintroduit le risque XSS.

“Depuis la version 1.20.10, l’installation par défaut de Krpano n’était pas vulnérable”, a déclaré le chercheur au Hacker News par e-mail. “Cependant, la configuration de PassQueryParameter en combinaison avec le paramètre XML a permis une configuration XML externe via l’URL, conduisant à un risque XSS.”

“Les versions exploitées que j’ai rencontrées étaient principalement plus anciennes, antérieures à la version 1.20.10.”

La campagne, par Zaytsev, a exploité cette faiblesse pour détourner plus de 350 sites pour diffuser des publicités sommaires liées à la pornographie, aux compléments alimentaires, aux casinos en ligne et aux faux sites d’information. De plus, certaines de ces pages ont été armées pour stimuler les vues vidéo YouTube.

La campagne est remarquable, notamment parce qu’elle abuse de la confiance et de la crédibilité des domaines légitimes pour apparaître en bonne place dans les résultats de recherche, une technique appelée Empoisonnement d’optimisation des moteurs de recherche (SEO)qui, à son tour, est accompli en abusant du défaut XSS.

“Un XSS reflété est une vulnérabilité amusante mais nécessite à lui-même l’interaction des utilisateurs, et l’un des plus grands défis est de faire cliquer sur votre lien XSS réfléchi”, a déclaré Zaytsev. “Donc, utiliser des moteurs de recherche comme plate-forme de distribution pour votre XSS est une façon très créative et cool de le faire.”

Cybersécurité

Après la divulgation responsable, la dernière version de Krpano élimine la prise en charge de la configuration externe via le paramètre XML, atténuant ainsi le risque d’attaques XSS même lorsque le paramètre est utilisé.

“Amélioration de la sécurité EmbedPano () PassQueryParameters: les données et les URL externes ne sont généralement plus autorisées comme valeurs de paramètre et les URL pour le paramètre XML sont limitées pour se situer dans la structure du dossier actuel”, selon le notes de libération Pour la version 1.22.4 publiée cette semaine.

On ne sait actuellement pas qui est à l’origine de l’opération massive, bien que l’abus d’une faille XSS de servir de redirection, au lieu de mener des attaques plus néfastes telles que les informations d’identification ou le vol de cookies, soulève la possibilité d’une entreprise de publicité avec des pratiques douteuses qui servent ces publicités comme stratégie de monétisation.

Les utilisateurs de Krpano sont invités à mettre à jour leurs installations vers la dernière version et à définir le paramètre “PassQueryParameters” sur FALSE. Les propriétaires de sites Web affectés sont recommandés pour trouver et supprimer les pages infectées via la console de recherche Google.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57