Hakeri iskorištavaju CMS editor koji je ukinut prije 14 godina kako bi ugrozili obrazovne i vladine subjekte širom svijeta kako bi zatrovali rezultate pretraživanja zlonamjernim stranicama ili prevarama.
Otvorena preusmjeravanja su kada web stranice, bilo namjerno ili zbog greške, dozvoljavaju proizvoljne zahtjeve za preusmjeravanje koji vode korisnike s originalne stranice na vanjski URL bez adekvatne validacije ili sigurnosnih provjera.
Na primjer, ako je postojao URL na https://www.example.com/?redirect=<url> koji preusmjerava posjetitelje na navedeni URL, a svako bi mogao izmijeniti taj URL na web lokaciju po svom izboru, smatralo bi se otvoreno preusmeravanje.
Napadači zloupotrebljavaju ova otvorena preusmjeravanja za izvođenje phishing napada, distribucije malvera ili prevare korisnika dok se čini da potiču sa legitimnih domena. Kako se URL-ovi hostuju na pouzdanim domenama, to im može omogućiti da zaobiđu URL filtere koje koriste sigurnosni proizvodi.
Nadalje, pretraživači indeksiraju preusmjeravanja i navode ih u rezultatima Google pretrage, što ih čini efikasnom strategijom za SEO poisoning kampanje, koristeći pouzdanu domenu za bolje rangiranje zlonamjernih URL-ova kod određenih upita.
Budući da otvoreni URL-ovi za preusmjeravanje ne hostiraju direktno zlonamjerni sadržaj, već samo upućuju na njega, oni mogu ostati aktivni i vidljivi u rezultatima pretraživanja dugo vremena dok ne budu prijavljeni za uklanjanje.
Međutim, mnoge kompanije, uključujući Google i Microsoft, ne smatraju otvorena preusmjeravanja propustom i možda ih neće popraviti osim ako ne dovedu do ozbiljnije ranjivosti.
Ciljanje zastarjelih dodataka
Istraživač kibernetičke sigurnosti @g0njxa otkrio je zlonamjernu kampanju preusmjeravanja nakon što je vidio rezultate Google pretraživanja za generatore ‘Free V Bucks’ (Fortnite valuta u igrici) koji se nalaze na univerzitetskim stranicama.
Otvoreni zahtjevi za preusmjeravanje koje koriste napadači u ovoj kampanji odnose se na FCKeditor, nekada popularni web uređivač teksta koji omogućava korisnicima da uređuju HTML sadržaj direktno unutar web stranice.
U 2009. godini, FCKeditor je rebrendiran i značajno preuređen, što je rezultiralo lansiranjem CKEditor-a, koji koristi moderniju bazu koda, nudi poboljšanu upotrebljivost i kompatibilnost sa savremenim web standardima, a također je aktivno podržan od strane programera.
U Twitteru thread-u, g0njxa navodi različite organizacije koje su ciljane ovom kampanjom, prvenstveno usmjerene na obrazovne institucije, kao što su MIT, Univerzitet Columbia, Universitat de Barcelona, Univerzitet Auburn, Univerzitet Washington, Purdue, Tulane, Universidad Central del Ecuador i Univerzitet od Havaja.
Međutim, kampanja također cilja na vladine i korporativne stranice koje koriste zastarjeli dodatak FCKeditor, uključujući vladinu stranicu Virginije, Austin, web stranicu vlade Teksasa, web stranicu španske vlade i Yellow Pages Canada.
Iz testova BleepingComputer-a, otkrili smo da kompromitovane instance FCKeditor koriste kombinaciju statičkih HTML stranica i preusmjeravanja na zlonamjerne stranice.
Statičke HTML stranice otvaraju se pod legitimnim domenom i koriste se za trovanje pretraživača zlonamjernim rezultatima.
Na primjer, jedan od linkova u Google-u vodi do instance FCKeditor na web lokaciji aum.edu, gdje se HTML stranica pretvara da je članak vijesti o lijekovima za tinitus.
Međutim, članak je osmišljen da promoviše druge stranice sa sadržajem na kompromitovanoj instanci FCKeditor instaliranoj na AUM-ovoj web stranici, tako da će Google indeksirati stranice. Kada se ove stranice rangiraju u pretraživačima, hakeri će ih vjerovatno zamijeniti za preusmjeravanja na zlonamjerne stranice.
Drugi URL-ovi u ovoj kampanji će jednostavno zloupotrijebiti FCKeditor za preusmjeravanje posjetitelja na web-lokacije za prevaru, lažne članke vijesti, stranice za krađu identiteta, stranice za pomoć pri hakiranju ili zlonamjerne ekstenzije pretraživača.
Proizvođač softvera je odgovorio na izvještaj kampanje otvorenih preusmjeravanja na X-u, rekavši da je FCKeditor zastario od 2010. godine i da ga više niko ne bi trebao koristiti.
Nažalost, nije neuobičajeno vidjeti univerzitetske i vladine stranice kako koriste softver koji je ukinut već duže vrijeme, u ovom slučaju više od 13 godina.
U prošlosti smo vidjeli slične kampanje u kojima su hakeri zloupotrebljavali otvorena preusmjeravanja na vladinim stranicama kako bi preusmjerili korisnike na lažne OnlyFans i web stranice za odrasle.
Izvor: Bleepingcomputer
