{"id":1556688,"date":"2025-02-26T17:03:29","date_gmt":"2025-02-26T19:03:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-ont-exploite-le-framework-krpano-pour-injecter-des-publicites-de-spam-sur-plus-de-350-sites-web\/"},"modified":"2025-02-26T17:03:34","modified_gmt":"2025-02-26T19:03:34","slug":"les-pirates-ont-exploite-le-framework-krpano-pour-injecter-des-publicites-de-spam-sur-plus-de-350-sites-web","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-ont-exploite-le-framework-krpano-pour-injecter-des-publicites-de-spam-sur-plus-de-350-sites-web\/","title":{"rendered":"Les pirates ont exploit\u00e9 le framework Krpano pour injecter des publicit\u00e9s de spam sur plus de 350 sites Web"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Les-pirates-ont-exploite-le-framework-Krpano-pour-injecter-des.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Une vuln\u00e9rabilit\u00e9 des scripts crois\u00e9s (XSS) dans un cadre de tourn\u00e9e virtuel a \u00e9t\u00e9 arm\u00e9e par des acteurs malveillants pour injecter des scripts malveillants sur des centaines de sites Web dans le but de manipuler les r\u00e9sultats de recherche et d&#8217;alimenter une campagne de publicit\u00e9 au spam \u00e0 grande \u00e9chelle.<\/p>\n<p>Le chercheur en s\u00e9curit\u00e9 Oleg Zaytsev, dans un rapport partag\u00e9 avec le Hacker News, a d\u00e9clar\u00e9 la campagne &#8211; surnomm\u00e9e <strong>360xss<\/strong> &#8211; Affect\u00e9 plus de 350 sites Web, notamment des portails gouvernementaux, des sites du gouvernement de l&#8217;\u00c9tat am\u00e9ricain, des universit\u00e9s am\u00e9ricaines, des cha\u00eenes h\u00f4teli\u00e8res majeures, des m\u00e9dias, des concessionnaires automobiles et plusieurs soci\u00e9t\u00e9s du Fortune 500.<\/p>\n<p>&#8220;Ce n&#8217;\u00e9tait pas seulement une op\u00e9ration de spam&#8221;, le chercheur <a rel=\"noopener nofollow\" href=\"https:\/\/olegzay.com\/360xss\/\" target=\"_blank\">dit<\/a>. &#8220;C&#8217;\u00e9tait un abus \u00e0 l&#8217;\u00e9chelle industrielle des domaines de confiance.&#8221;<\/p>\n<p>Tous ces sites Web ont une chose en commun: un cadre populaire appel\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/krpano.com\/home\/\" target=\"_blank\">Krpano<\/a> C&#8217;est utilis\u00e9 pour int\u00e9grer des images et des vid\u00e9os \u00e0 360 \u00b0 pour faciliter les visites virtuelles interactives et les exp\u00e9riences VR. <\/p>\n<p>Zaytsev a d\u00e9clar\u00e9 qu&#8217;il \u00e9tait tomb\u00e9 sur la campagne apr\u00e8s avoir rencontr\u00e9 une annonce li\u00e9e \u00e0 la pornographie r\u00e9pertori\u00e9e sur Google Search mais avec un domaine associ\u00e9 \u00e0 l&#8217;Universit\u00e9 de Yale (&#8220;VirtualTour.quantuminstitute.yale[.]edu &#8220;).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Un aspect notable de ces URL est un param\u00e8tre XML qui est con\u00e7u pour rediriger le visiteur du site vers une deuxi\u00e8me URL qui appartient \u00e0 un autre site Web l\u00e9gitime, qui est ensuite utilis\u00e9 pour ex\u00e9cuter une charge utile cod\u00e9e de base64 via un document XML. La charge utile d\u00e9cod\u00e9e, pour sa part, r\u00e9cup\u00e8re l&#8217;URL cible (c&#8217;est-\u00e0-dire l&#8217;annonce) d&#8217;un autre site l\u00e9gitime.<\/p>\n<p>Le param\u00e8tre XML pass\u00e9 dans l&#8217;URL d&#8217;origine servis dans les r\u00e9sultats de recherche fait partie d&#8217;un param\u00e8tre de configuration plus large nomm\u00e9 &#8220;<a rel=\"noopener nofollow\" href=\"https:\/\/krpano.com\/docu\/embedpano\/#passQueryParameters\" target=\"_blank\">param\u00e8tres de la passe<\/a>&#8220;C&#8217;est <a rel=\"noopener nofollow\" href=\"https:\/\/krpano.com\/docu\/embedpano\/#embeddingparameters\" target=\"_blank\">utilis\u00e9<\/a> quand <a rel=\"noopener nofollow\" href=\"https:\/\/krpano.com\/docu\/embedpano\/#embedpano\" target=\"_blank\">Incorporer un t\u00e9l\u00e9spectateur de Krpano Panorama<\/a> dans une page HTML. Il est sp\u00e9cifiquement con\u00e7u pour passer les param\u00e8tres HTTP de l&#8217;URL \u00e0 la visionneuse.<\/p>\n<p>Le probl\u00e8me de s\u00e9curit\u00e9 ici est que si l&#8217;option est activ\u00e9e, elle ouvre la porte \u00e0 un sc\u00e9nario o\u00f9 un attaquant pourrait utiliser une URL sp\u00e9cialement con\u00e7ue pour ex\u00e9cuter un script malveillant dans le navigateur Web d&#8217;une victime lorsque le site vuln\u00e9rable est visit\u00e9.<\/p>\n<p>En effet, une faille XSS r\u00e9fl\u00e9chie r\u00e9sultant de ce comportement a \u00e9t\u00e9 divulgu\u00e9e \u00e0 Krpano fin 2020 (<a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-24901\" target=\"_blank\">CVE-2020-24901<\/a>Score CVSS: 6.1), indiquant que le <a rel=\"noopener nofollow\" href=\"https:\/\/packetstorm.news\/files\/id\/159477\" target=\"_blank\">potentiel d&#8217;abus<\/a> est connu publiquement depuis plus de quatre ans.<\/p>\n<p>Alors qu&#8217;une mise \u00e0 jour introduite dans la version 1.20.10 &#8220;PassQueryParameters&#8221; restreinte \u00e0 une liste d&#8217;autoroute pour tenter d&#8217;emp\u00eacher que ces attaques XSS aient lieu, ZaytSev a r\u00e9v\u00e9l\u00e9 que l&#8217;ajout explicite du param\u00e8tre XML \u00e0 la liste d&#8217;autoroute a r\u00e9introduit le risque XSS.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740596608_92_Les-pirates-ont-exploite-le-framework-Krpano-pour-injecter-des.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740596608_92_Les-pirates-ont-exploite-le-framework-Krpano-pour-injecter-des.png\" alt=\"\" border=\"0\" data-original-height=\"802\" data-original-width=\"728\"\/><\/a><\/div>\n<p>&#8220;Depuis la version 1.20.10, l&#8217;installation par d\u00e9faut de Krpano n&#8217;\u00e9tait pas vuln\u00e9rable&#8221;, a d\u00e9clar\u00e9 le chercheur au Hacker News par e-mail. &#8220;Cependant, la configuration de PassQueryParameter en combinaison avec le param\u00e8tre XML a permis une configuration XML externe via l&#8217;URL, conduisant \u00e0 un risque XSS.&#8221;<\/p>\n<p>&#8220;Les versions exploit\u00e9es que j&#8217;ai rencontr\u00e9es \u00e9taient principalement plus anciennes, ant\u00e9rieures \u00e0 la version 1.20.10.&#8221;<\/p>\n<p>La campagne, par Zaytsev, a exploit\u00e9 cette faiblesse pour d\u00e9tourner plus de 350 sites pour diffuser des publicit\u00e9s sommaires li\u00e9es \u00e0 la pornographie, aux compl\u00e9ments alimentaires, aux casinos en ligne et aux faux sites d&#8217;information. De plus, certaines de ces pages ont \u00e9t\u00e9 arm\u00e9es pour stimuler les vues vid\u00e9o YouTube.<\/p>\n<p>La campagne est remarquable, notamment parce qu&#8217;elle abuse de la confiance et de la cr\u00e9dibilit\u00e9 des domaines l\u00e9gitimes pour appara\u00eetre en bonne place dans les r\u00e9sultats de recherche, une technique appel\u00e9e <a rel=\"noopener nofollow\" href=\"https:\/\/www.crowdstrike.com\/en-us\/cybersecurity-101\/social-engineering\/seo-poisoning\/\" target=\"_blank\">Empoisonnement d&#8217;optimisation des moteurs de recherche (SEO)<\/a>qui, \u00e0 son tour, est accompli en abusant du d\u00e9faut XSS.<\/p>\n<p>&#8220;Un XSS refl\u00e9t\u00e9 est une vuln\u00e9rabilit\u00e9 amusante mais n\u00e9cessite \u00e0 lui-m\u00eame l&#8217;interaction des utilisateurs, et l&#8217;un des plus grands d\u00e9fis est de faire cliquer sur votre lien XSS r\u00e9fl\u00e9chi&#8221;, a d\u00e9clar\u00e9 Zaytsev. &#8220;Donc, utiliser des moteurs de recherche comme plate-forme de distribution pour votre XSS est une fa\u00e7on tr\u00e8s cr\u00e9ative et cool de le faire.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738390842_400_Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Apr\u00e8s la divulgation responsable, la derni\u00e8re version de Krpano \u00e9limine la prise en charge de la configuration externe via le param\u00e8tre XML, att\u00e9nuant ainsi le risque d&#8217;attaques XSS m\u00eame lorsque le param\u00e8tre est utilis\u00e9.<\/p>\n<p>&#8220;Am\u00e9lioration de la s\u00e9curit\u00e9 EmbedPano () PassQueryParameters: les donn\u00e9es et les URL externes ne sont g\u00e9n\u00e9ralement plus autoris\u00e9es comme valeurs de param\u00e8tre et les URL pour le param\u00e8tre XML sont limit\u00e9es pour se situer dans la structure du dossier actuel&#8221;, selon le <a rel=\"noopener nofollow\" href=\"https:\/\/krpano.com\/docu\/releasenotes\/?version=122#top\" target=\"_blank\">notes de lib\u00e9ration<\/a> Pour la version 1.22.4 publi\u00e9e cette semaine.<\/p>\n<p>On ne sait actuellement pas qui est \u00e0 l&#8217;origine de l&#8217;op\u00e9ration massive, bien que l&#8217;abus d&#8217;une faille XSS de servir de redirection, au lieu de mener des attaques plus n\u00e9fastes telles que les informations d&#8217;identification ou le vol de cookies, soul\u00e8ve la possibilit\u00e9 d&#8217;une entreprise de publicit\u00e9 avec des pratiques douteuses qui servent ces publicit\u00e9s comme strat\u00e9gie de mon\u00e9tisation.<\/p>\n<p>Les utilisateurs de Krpano sont invit\u00e9s \u00e0 mettre \u00e0 jour leurs installations vers la derni\u00e8re version et \u00e0 d\u00e9finir le param\u00e8tre &#8220;PassQueryParameters&#8221; sur FALSE. Les propri\u00e9taires de sites Web affect\u00e9s sont recommand\u00e9s pour trouver et supprimer les pages infect\u00e9es via la console de recherche Google.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/hackers-exploited-krpano-framework-flaw.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une vuln\u00e9rabilit\u00e9 des scripts crois\u00e9s (XSS) dans un cadre de tourn\u00e9e virtuel a \u00e9t\u00e9 arm\u00e9e par des acteurs malveillants pour injecter des scripts malveillants sur des centaines de sites Web dans le but de manipuler les r\u00e9sultats de recherche et d&#8217;alimenter une campagne de publicit\u00e9 au spam \u00e0 grande \u00e9chelle. Le chercheur en s\u00e9curit\u00e9 Oleg [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1556689,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,4168,79002,274264,4161,274263,6124,133,7727,39961,34830,283078,65,274267,4160,249,4394,185,2884,238617,246491,4172,2783,75168,60,79016,4166,4164,2784],"class_list":["post-1556688","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-des","tag-exploite","tag-framework","tag-injecter","tag-krpano","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-ont","tag-pirates","tag-pour","tag-publicites","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-sites","tag-spam","tag-sur","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-web"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1556688","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1556688"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1556688\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1556689"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1556688"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1556688"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1556688"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}