Una vulnerabilidad de secuencias de comandos de sitios (XSS) en un marco de gira virtual ha sido armado por actores maliciosos para inyectar guiones maliciosos en cientos de sitios web con el objetivo de manipular los resultados de búsqueda y alimentar una campaña de anuncios de spam a escala.
El investigador de seguridad Oleg Zaytsev, en un informe compartido con The Hacker News, dijo la campaña, doblada 360xss – Afectó a más de 350 sitios web, incluidos portales gubernamentales, sitios del gobierno estatal de los Estados Unidos, universidades estadounidenses, cadenas hoteleras principales, medios de comunicación, concesionarios de automóviles y varias compañías Fortune 500.
«Esto no fue solo una operación de spam», dijo el investigador. «Fue un abuso a escala industrial de dominios de confianza».
Todos estos sitios web tienen una cosa en común: un marco popular llamado Krpano que se usa para incrustar imágenes y videos de 360 ° para facilitar los recorridos virtuales interactivos y las experiencias de realidad virtual.
Zaytsev dijo que se topó con la campaña después de encontrarse con un anuncio relacionado con la pornografía que figura en la búsqueda de Google pero con un dominio asociado con la Universidad de Yale («VirtualTour.quantuminstitute.yale (.) Edu»).
Un aspecto notable de estas URL es un parámetro XML diseñado para redirigir al visitante del sitio a una segunda URL que pertenece a otro sitio web legítimo, que luego se utiliza para ejecutar una carga útil codificada Base64 a través de un documento XML. La carga útil decodificada, por su parte, obtiene la URL objetivo (es decir, el anuncio) de otro sitio legítimo.
El parámetro XML aprobado en la URL original que se sirve en los resultados de búsqueda es parte de una configuración más amplia de configuración llamada «PassQueryParameters» que se usa al incorporar un visor panorámico Krpano en una página HTML. Está específicamente diseñado para pasar los parámetros HTTP de la URL al espectador.
El problema de seguridad aquí es que si la opción está habilitada, abre la puerta a un escenario en el que un atacante podría usar una URL especialmente elaborada para ejecutar un guión malicioso en el navegador web de una víctima cuando se visite el sitio vulnerable.
De hecho, se reveló una falla XSS reflejada como resultado de este comportamiento en Krpano a fines de 2020 (CVE-2020-24901, puntaje CVSS: 6.1), lo que indica que el potencial de abuso se ha conocido públicamente por más de cuatro años.
Mientras que una actualización introducida en la versión 1.20.10 «PassQueryParameters» restringida a una lista de algodín en un intento de evitar que se produjeran tales ataques XSS, Zaytsev descubrió que agregó explícitamente el parámetro XML a la lista de alquiler reintrodujo el riesgo de XSS.
«Desde la versión 1.20.10, la instalación predeterminada de Krpano no fue vulnerable», dijo el investigador a The Hacker News por correo electrónico. «Sin embargo, la configuración de PassQueryParameter en combinación con el parámetro XML permitió la configuración XML externa a través de la URL, lo que lleva a un riesgo de XSS».
«Las versiones explotadas que he encontrado fueron principalmente las más antiguas, anteriores a la versión 1.20.10».
La campaña, según Zaytsev, ha aprovechado esta debilidad para secuestrar más de 350 sitios para publicar anuncios incompletos relacionados con pornografía, suplementos de dieta, casinos en línea y sitios de noticias falsas. Además, algunas de estas páginas han sido armadas para aumentar las vistas de video de YouTube.
La campaña es notable, sobre todo porque abusa de la confianza y la credibilidad de los dominios legítimos para aparecer prominentemente en los resultados de búsqueda, una técnica llamada envenenamiento de optimización de motores de búsqueda (SEO), que, a su vez, se logra al abusar de la falla XSS.
«Un XSS reflejado es una vulnerabilidad divertida, pero por sí solo requiere la interacción del usuario, y uno de los mayores desafíos es hacer que las personas hagan clic en su enlace XSS reflejado», dijo Zaytsev. «Por lo tanto, usar los motores de búsqueda como plataforma de distribución para su XSS es una forma muy creativa y genial de hacerlo».
Después de la divulgación responsable, la última versión de Krpano elimina el soporte para la configuración externa a través del parámetro XML, mitigando así el riesgo de ataques XSS incluso cuando se usa la configuración.
«Seguridad mejorada de incrustpano () passQueryParameters: las URL de datos y las URL externas generalmente no están permitidas ya que los valores de parámetros y las URL para el parámetro XML están limitadas para estar dentro de la estructura de carpeta actual», de acuerdo con las notas de la versión para la versión 1.22.4 esta semana.
Actualmente no se sabe quién está detrás de la operación masiva, aunque el abuso de una falla de XSS para servir solo redireccionamientos, en lugar de llevar a cabo ataques más nefastos como credenciales o robo de galletas, plantea la posibilidad de una empresa publicitaria con prácticas cuestionables que les sirva a estos. anuncios como estrategia de monetización.
Se recomienda a los usuarios de Krpano que actualicen sus instalaciones a la última versión y establezcan la configuración «PassQueryParameters» en FALSO. Se recomienda a los propietarios de sitios web afectados para encontrar y eliminar páginas infectadas a través de la consola de búsqueda de Google.
