360XSS kampanyası, arama sonuçlarını ele geçirmek ve hükümet, üniversiteler ve haber kuruluşları da dahil olmak üzere 350’den fazla sitede spam reklamlarını dağıtmak için krpano xss’den yararlanır.
Krpano sanal bir tur çerçevesinde bir kırılganlıktan yararlanan yaygın bir kampanya, siber güvenlik araştırmacısı Oleg Zaytsev tarafından ortaya çıkarıldı. “360XSS” olarak adlandırılan saldırı, arama motoru manipülasyonu ve kitle reklam dağıtımını içeriyordu.
Bilgileriniz için Krpano, sürükleyici 360 ° deneyimlerin oluşturulmasını sağlayan ve kullanıcıların panoramik görüntüleri ve videoları sanal bir ortamda keşfetmelerini sağlayan yaygın olarak kullanılan bir yazılım aracıdır.
Hackread.com ile paylaşılan Zaytsev’in araştırması, saldırının CVE-2020-24901 olarak izlenen Krpano VR kütüphanesinde yansıtılmış bir saha arası senaryo (XSS) kusurundan yararlandığını ortaya koydu. Güvenlik açığı, Krpano çerçevesi içinde bir yapılandırma ayarında ikamet etti (passQueryParameter
), varsayılan olarak, sorgu parametrelerinin doğrudan çerçevenin yapılandırmasına aktarılmasına izin verdi.
Bu, saldırganların rastgele XML enjekte etmesini sağlayarak yansıtılan XSS’ye yol açtı. Varsayılan ayar bu kusuru etkinleştirerek yamalar serbest bırakılıncaya kadar yaygın sömürüye yol açar. Ne yazık ki, Framework geliştiricisinin kendi sitesi de dahil olmak üzere çok sayıda web sitesinde açılmamıştır.
Kampanyanın keşfi, prestijli bir üniversitenin alanı altında görünen yetişkin içeriği için beklenmedik bir arama sonucu ile başladı. Daha fazla araştırma, sitenin sanal turlar için Krpano çerçevesini kullandığını ve URL içindeki belirli bir parametrenin kötü amaçlı kod enjekte etmek için kullanıldığını ortaya koydu. Bu kod, kullanıcıları reklamları spam olarak yönlendirerek basit web sitesi aşılamasının ötesinde sofistike bir saldırı gösterdi.
Hükümet portalları, eğitim kurumları, haber kuruluşları ve büyük şirketler de dahil olmak üzere yüzlerce web sitesi ile kampanyanın ölçeği önemliydi. Saldırganlar, arama motoru sonuçlarını manipüle eden kötü amaçlı komut dosyaları enjekte etmek için XSS güvenlik açığını kullandılar ve spam reklamlarını arama listelerinin en üstüne itti. SEO zehirlenmesi olarak bilinen bu teknik, reklamlarının görünürlüğünü artırmak için tehlikeye atılan alanların yetkisinden yararlanmalarına izin verdi.
Kampanyanın geniş kapsamlı bir etkisi oldu ve farklı sektörlerde 350’den fazla web sitesini tehlikeye attı. Bu, hassas hükümet portalları ve eyalet hükümet siteleri, büyük Amerikan üniversiteleri, önde gelen otel zincirleri, CNN ve Geo.TV gibi saygın haber kuruluşları, otomobil bayileri ve Fortune 500 şirketlerini içeriyordu. Saldırganların kullanıcı verilerine doğrudan saldırılardan ziyade reklam dağıtımına odaklanması, muhtemelen bir Arap grubu tarafından hesaplanmış bir yaklaşım önerdi.

Zaytsev, blog yazılarında, “Bu kampanyanın arkasındaki insanlar bir gizem olarak kalıyor, ancak gördüğüm kadarıyla, birçok ipucu, araştırmam sırasında bulduğum reklamlar, kalıplar ve rastgele ekmek kırıntılarına dayanan bir Arap grubu tarafından yürütüldüğünü gösteriyor” dedi.
Ayrıca, etkilenen kuruluşlara karşı savunmasızlığı bildirme çabalarının, birçok resmi açıklama programından yoksun olduğu zorlayıcı olduğunu kanıtladı. Bununla birlikte, bazı kuruluşlar olumlu yanıt verdi ve Krpano geliştiricileri sorunu bir sonraki sürümde bir yama ile ele aldı. Krpano çerçevesini kullanan kuruluşların en son sürüme güncellemeleri ve savunmasız yapılandırma ayarını devre dışı bırakmaları önerilir.
Seraphic Security’de CTO olan Eran Elshech, saldırganların kötü amaçlı yazılımlardan tarayıcı güvenlik açıklarından ve web çerçevelerini kullanmaya geçtiğini vurgular. 360XSS kampanyası, güvenilir siteleri tehlikeye atmak, arama sonuçlarını değiştirmek ve spam reklamları için web özelliklerini ele geçirmek için bilinen bir XSS kusurunun ne kadar kolay kullanıldığını gösteriyor.
Saldırganlar, yüksek trafikli sitelere minimum çaba sarf ederken, kullanıcı cihazlarına doğrudan erişim olmadan büyük kitlelere ulaştıklarından, bu tür saldırıların ölçeklenebilirliğinin ve gizliliğinin onları oldukça etkili hale getirdiği konusunda uyarıyor.