Ranjivost skriptovanja na više lokacija (XSS) unutar Krpano, popularnog alata za ugrađivanje slika od 360° i kreiranje virtuelnih obilazaka, iskorištena je za ubacivanje malicioznih skripti u preko 350 web stranica.
Ova široko rasprostranjena kampanja manipuliše rezultatima pretraživača i širi neželjene reklame po internetu.
Istraživač sigurnosti Oleg Zaytsev otkrio je kampanju, nazvanu “360XSS”, nakon što je naišao na sumnjivi oglas na Google pretraživanju koji je bio povezan s domenom Univerziteta Yale.
Oglas je doveo do pornografskog sajta, podigao sumnju Zaytsev-a i naveo ga da istraži.
Zaytsevova istraga je otkrila da poddomen Univerziteta Yale pokreće Krpano, a ranjivost je proizašla iz nepravilnog rukovanja parametrom “xml” u URL-u.
Ovaj parametar, namijenjen specificiranju lokacije eksternih XML konfiguracijskih datoteka, može se iskoristiti za ubacivanje malicioznog koda .
Napadači su koristili posebno kreiran URL koji sadrži XML parametar koji je preusmjeravao posjetitelje na drugu web stranicu.
Ova web stranica je zatim izvršila Base64 kodiran korisni teret preko XML dokumenta, ubrizgavajući na kraju maliciozne skripte u web lokaciju koju pokreće Krpano.
Ubačene skripte su zatim posluživale oglase za različite upitne proizvode i usluge, uključujući pornografiju, dodatke prehrani i online kockarnice.
U nekim slučajevima, otete stranice su korištene za povećanje broja pregleda na YouTube-u . Opseg kampanje je ogroman i zahvaća širok spektar web stranica, uključujući vladine portale, web stranice državne vlade, univerzitete, hotelske lance, novinske kuće, salone automobila i kompanije sa liste Fortune 500.
Mnoge od ovih stranica privlače milione posjetitelja svakog mjeseca, povećavajući doseg maliciozne oglasa.
Ranjivost leži u postavci konfiguracije koja se zove “passQueryParameters”, koja, kada je omogućena, omogućava da se HTTP parametri sa URL-a proslijede direktno Krpano pregledniku.
Dok su Krpano programeri pokušali riješiti ovaj problem u verziji 1.20.10 ograničavanjem “passQueryParameters” na dopuštenu listu, eksplicitno dodavanje XML parametra natrag na listu dopuštenja ponovo je uvelo XSS rizik.
Zaytsev je također otkrio da je Krpanova vlastita web stranica, na kojoj se nalaze živi primjeri okvira obilaska od 360°, također bila osjetljiva na eksploataciju.
Napadači koriste povjerenje i kredibilitet ugroženih domena kako bi postigli više rangiranje u rezultatima pretraživanja, tehnikom poznatom kao trovanje optimizacijom za pretraživače (SEO) .
Ubacivanjem malicioznih linkova i optimizovanjem lažnim brojem recenzija i ocjenama u zvjezdicama, napadači osiguravaju da se njihovi oglasi pojavljuju uočljivo u rezultatima pretraživanja.
Na primjer, napadači su uspjeli ubaciti lažni članak koji promoviše online kazina direktno na CNN-ovu web stranicu. Slično, istom su taktikom gađali i najveću pakistansku informativnu stranicu geo.tv.
Nakon Zaytsevovog odgovornog otkrivanja, Krpano programeri su objavili verziju 1.22.4. Ova verzija eliminiše podršku za eksternu konfiguraciju preko XML parametra, smanjujući rizik od XSS napada .
Korisnicima Krpana se savjetuje da ažuriraju na najnoviju verziju i postavku “passQueryParameters” postave na “false”. Vlasnici web stranica također se ohrabruju da koriste Google Search Console za identifikaciju i uklanjanje svih zaraženih stranica.
Izvor: CyberSecurityNews
