Sanal bir tur çerçevesindeki siteler arası komut dosyası (XSS) güvenlik açığı, kötü niyetli aktörler tarafından, arama sonuçlarını manipüle etmek ve bir spam reklam kampanyasını ölçekte körüklemek amacıyla yüzlerce web sitesine kötü amaçlı komut dosyaları enjekte etmek için silahlandırılmıştır.
Güvenlik Araştırmacısı Oleg Zaytsev, Hacker News ile paylaşılan bir raporda, kampanyanın dublajını söyledi. 360xss – Devlet portalları, ABD eyalet hükümet siteleri, Amerikan üniversiteleri, büyük otel zincirleri, haber kuruluşları, otomobil bayileri ve birkaç Fortune 500 şirketi de dahil olmak üzere 350’den fazla web sitesi etkilendi.
“Bu sadece bir spam operasyonu değildi,” dedi araştırmacı. Diyerek şöyle devam etti: “Güvenilir alanların endüstriyel ölçekli bir kötüye kullanımı idi.”
Tüm bu web sitelerinin ortak bir yanı vardır: etkileşimli sanal turları ve VR deneyimlerini kolaylaştırmak için 360 ° görüntü ve video yerleştirmek için kullanılan Krpano adlı popüler bir çerçeve.
Zaytsev, Google Search’te listelenen ancak Yale Üniversitesi ile ilişkili bir alan ile pornografiyle ilgili bir reklamla karşılaştıktan sonra kampanyayı tökezlediğini söyledi (“VirtualTour.quantuminstitute.yale[.]Edu “).
Bu URL’lerin dikkate değer bir yönü, site ziyaretçisini başka bir meşru web sitesine ait olan ikinci bir URL’ye yönlendirmek için tasarlanmış bir XML parametresidir ve daha sonra bir XML belgesi aracılığıyla Base64 kodlu bir yükü yürütmek için kullanılır. Kod çözülmüş yük, kendi adına, hedef URL’yi (yani reklam) başka bir meşru siteden getirir.
Arama sonuçlarında sunulan orijinal URL’de geçirilen XML parametresi, bir krpano panorama görüntüleyicisini bir HTML sayfasına gömürken kullanılan “PassqueryParameters” adlı daha geniş bir yapılandırma ayarının bir parçasıdır. HTTP parametrelerini URL’den izleyiciye aktarmak için özel olarak tasarlanmıştır.
Buradaki güvenlik sorunu, seçenek etkinleştirilirse, bir saldırganın savunmasız site ziyaret edildiğinde bir kurbanın web tarayıcısında kötü amaçlı bir komut dosyası yürütmek için özel olarak hazırlanmış bir URL kullanabileceği bir senaryoya kapıyı açmasıdır.
Gerçekten de, bu davranışın bir sonucu olarak ortaya çıkan yansıyan bir XSS kusuru, 2020’nin sonlarında Krpano’da açıklanmıştır (CVE-2020-24901, CVSS skoru: 6.1), bu da istismar potansiyelinin dört yıldan uzun bir süredir kamuya açık olduğunu göstermektedir.
Sürüm 1.20.10’da tanıtılan bir güncelleme, “PassqueryParameters” ı bu tür XSS saldırılarının gerçekleşmesini önlemek amacıyla bir izin listesiyle sınırlandırırken, Zaytsev, XML parametresini açıkça XSS riskini yeniden başlattığını buldu.
“1.20.10 sürümünden beri, Krpano’nun varsayılan kurulumu savunmasız değildi.” “Ancak, PassqueryParametreyi XML parametresi ile kombinasyon halinde yapılandırmak, URL üzerinden harici XML yapılandırmasına izin vererek XSS riskine yol açtı.”
“Karşılaştığım sömürülen sürümler, 1.20.10 sürümünü önleyen öncelikle daha eski sürümlerdi.”
Zaytsev’e göre kampanya, pornografi, diyet takviyeleri, çevrimiçi casinolar ve sahte haber siteleri ile ilgili kabataslak reklamlara hizmet etmek için bu zayıflığı 350’den fazla siteyi ele geçirmek için kullandı. Dahası, bu sayfaların bazıları YouTube video görüntülerini artırmak için silahlandırıldı.
Kampanya dikkat çekicidir, en azından, arama sonuçlarında belirgin bir şekilde görünmek için meşru alanların güvenini ve güvenilirliğini kötüye kullandığı için, Search Engine Optimizasyonu (SEO) zehirlenmesi adı verilen bir teknik, XSS kusurunu kötüye kullanılarak gerçekleştirilir.
Zaytsev, “Yansıtılan bir XSS eğlenceli bir güvenlik açığıdır, ancak kendi başına kullanıcı etkileşimi gerektirir ve en büyük zorluklardan biri, insanların yansıtılan XSS bağlantınızı tıklamasını sağlamaktır.” Dedi. “Bu yüzden arama motorlarını XSS’niz için bir dağıtım platformu olarak kullanmak, bunu yapmanın çok yaratıcı ve harika bir yoludur.”
Sorumlu açıklamayı takiben, KRPANO’nun son sürümü, XML parametresi aracılığıyla harici yapılandırma desteğini ortadan kaldırır, böylece ayar kullanıldığında bile XSS saldırıları riskini azaltır.
Sürüm 1.22.4 Sürüm Notları’na göre, “Geliştirilmiş EmedPano () PassqueryParameters Güvenlik: Veri-Urls ve harici URL’lere genellikle parametre değerleri ve XML parametresi için URL’lerin mevcut klasör yapısında olması için sınırlı olmasına izin verilmez.” Bu hafta.
Şu anda büyük operasyonun arkasında kimin olduğu bilinmemekle birlikte, bir XSS kusurunun kötüye kullanılması, kimlik bilgisi veya kurabiye hırsızlığı gibi daha hain saldırılar yapmanın aksine, bunlara hizmet eden şüpheli uygulamalara sahip bir reklam firması olasılığını artırır. para kazanma stratejisi olarak reklamlar.
Krpano kullanıcılarına kurulumlarını en son sürüme güncellemeleri ve “PassqueryParameters” ayarını False olarak ayarlamaları önerilir. Etkilenen web sitesi sahiplerinin Google Arama Konsolu üzerinden enfekte olmuş sayfaları bulması ve kaldırması önerilir.