Krpano çerçevesinde, 360 ° görüntüleri gömmek ve sanal turlar oluşturmak için popüler bir araç olan Krpano çerçevesi içinde bir bölgeler arası komut dosyası (XSS) güvenlik açığı, 350’den fazla web sitesine kötü amaçlı komut dosyaları enjekte etmek için kullanılmıştır.
Bu yaygın kampanya, arama motoru sonuçlarını manipüle eder ve spam reklamlarını internette yayar.
Güvenlik araştırmacısı Oleg Zaytsev, bir Yale Üniversitesi alanına bağlı olan Google aramasında şüpheli bir reklam üzerine tökezledikten sonra “360XSS” olarak adlandırılan kampanyayı keşfetti.
Reklam, Zaytsev’in şüphelerini artıran ve onu araştırmasını isteyen bir pornografi alanına yol açtı.
Zaytsev’in soruşturması, Yale Üniversitesi alt alanının Krpano’yu çalıştırdığını ve kırılganlığın URL’deki “XML” parametresinin uygunsuz ele alınmasından kaynaklandığını ortaya koydu.
Harici XML yapılandırma dosyalarının konumunu belirtmek için tasarlanan bu parametre, kötü amaçlı kod enjekte etmek için kullanılabilir.
Saldırganlar, ziyaretçileri başka bir web sitesine yönlendiren bir XML parametresi içeren özel olarak hazırlanmış bir URL kullandı.
Bu web sitesi daha sonra bir XML belgesi aracılığıyla baz64 kodlu bir yükü yürüterek, sonuçta KRPANO ile çalışan siteye kötü amaçlı komut dosyaları enjekte etti.
Enjekte edilen senaryolar daha sonra pornografi, diyet takviyeleri ve çevrimiçi casinolar dahil olmak üzere çeşitli şüpheli ürün ve hizmetler için reklamlar sundu.
Bazı durumlarda, kaçırılan sayfalar YouTube görünümlerini artırmak için kullanıldı. Kampanyanın ölçeği büyüktür ve devlet portalları, eyalet hükümet web siteleri, üniversiteler, otel zincirleri, haber kuruluşları, otomobil bayileri ve Fortune 500 şirketleri de dahil olmak üzere çok çeşitli web sitelerini etkilemektedir.
Bu sitelerin çoğu her ay milyonlarca ziyaretçiyi çekerek kötü niyetli reklamların erişimini artırıyor.
Güvenlik açığı, etkinleştirildiğinde, URL’den HTTP parametrelerinin doğrudan Krpano görüntüleyicisine geçirilmesine izin veren “PassqueryParameters” adlı bir yapılandırma ayarında yer alır.
KRPANO geliştiricileri, “PassqueryParameters” ı bir izin versiyonuyla sınırlandırarak 1.20.10 sürümünde bu sorunu ele almaya çalışırken, XML parametresini açıkça LeterList’e tekrar ekledi.
Zaytsev ayrıca, 360 ° Tur çerçevesinin canlı örneklerine ev sahipliği yapan Krpano’nun kendi web sitesinin de istismara karşı savunmasız olduğunu keşfetti.
Saldırganlar, arama motoru optimizasyonu (SEO) zehirlenmesi olarak bilinen bir teknik olan arama sonuçlarında daha yüksek sıralamalar elde etmek için tehlikeye atılan alanların güvenini ve güvenilirliğini artırıyor.
Saldırganlar, kötü niyetli bağlantılar enjekte ederek ve sahte inceleme sayıları ve yıldız derecelendirmeleri ile optimize ederek reklamlarının arama sonuçlarında belirgin bir şekilde görünmesini sağlar.
Örneğin, saldırganlar doğrudan CNN’nin web sitesine çevrimiçi casinoları tanıtan sahte bir makale enjekte etmeyi başardılar. Benzer şekilde, Pakistan’ın en büyük haber sitesi Geo.tv’yi aynı taktikle hedeflediler.
Takip etme Zaytsev’in sorumlu ifşası, krpano geliştiricileri 1.22.4 sürümünü yayınladı. Bu sürüm XSS saldırıları riskini hafifleterek XML parametresi aracılığıyla harici yapılandırma desteğini ortadan kaldırır.
KRPANO kullanıcılarına en son sürüme güncellemeleri ve “PassqueryParameters” ayarını “false” olarak ayarlamaları tavsiye edilir. Web sitesi sahipleri ayrıca enfekte olmuş sayfaları tanımlamak ve kaldırmak için Google Search Console’u kullanmaya teşvik edilir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free