Kerentanan scripting lintas-situs (XSS) dalam kerangka tur virtual telah dipersenjatai oleh aktor jahat untuk menyuntikkan skrip jahat di ratusan situs web dengan tujuan memanipulasi hasil pencarian dan memicu kampanye iklan spam pada skala.
Peneliti Keamanan Oleg Zaytsev, dalam sebuah laporan yang dibagikan dengan The Hacker News, mengatakan kampanye itu – dijuluki 360xss – Memengaruhi lebih dari 350 situs web, termasuk portal pemerintah, situs pemerintah negara bagian AS, universitas Amerika, rantai hotel utama, outlet berita, dealer mobil, dan beberapa perusahaan Fortune 500.
“Ini bukan hanya operasi spam,” kata peneliti. “Itu adalah penyalahgunaan domain tepercaya skala industri.”
Semua situs web ini memiliki satu kesamaan: kerangka kerja populer yang disebut Krpano yang digunakan untuk menyematkan gambar dan video 360 ° untuk memfasilitasi tur virtual interaktif dan pengalaman VR.
Zaytsev mengatakan dia menemukan kampanye setelah menemukan iklan terkait pornografi yang terdaftar di Google Search tetapi dengan domain yang terkait dengan Universitas Yale (“VirtualTour.Quantuminstitute.Yale[.]edu “).
Aspek penting dari URL ini adalah parameter XML yang dirancang untuk mengarahkan kembali pengunjung situs ke URL kedua milik situs web sah lainnya, yang kemudian digunakan untuk menjalankan muatan yang dikodekan base64 melalui dokumen XML. Payload yang didekodekan, untuk bagiannya, mengambil URL target (yaitu, iklan) dari situs yang sah lainnya.
Parameter XML yang dilewati dalam URL asli yang disajikan dalam hasil pencarian adalah bagian dari pengaturan konfigurasi yang lebih luas bernama “PassqueryParameters” yang digunakan ketika menanamkan pemirsa panorama Krpano ke dalam halaman HTML. Ini dirancang khusus untuk melewati parameter HTTP dari URL ke pemirsa.
Masalah keamanan di sini adalah bahwa jika opsi diaktifkan, itu membuka pintu ke skenario di mana penyerang dapat menggunakan URL yang dibuat khusus untuk menjalankan skrip jahat di browser web korban ketika situs yang rentan dikunjungi.
Memang, cacat XSS yang dipantulkan yang timbul sebagai akibat dari perilaku ini diungkapkan dalam Krpano pada akhir 2020 (CVE-2020-24901, skor CVSS: 6.1), menunjukkan bahwa potensi penyalahgunaan telah diketahui secara publik selama lebih dari empat tahun.
Sementara pembaruan yang diperkenalkan dalam versi 1.20.10 “PassqueryParameters” yang dibatasi ke daftar izin dalam upaya untuk mencegah serangan XSS tersebut terjadi, Zaytsev menemukan bahwa secara eksplisit menambahkan parameter XML ke daftar izin memperkenalkan risiko XSS.
“Karena versi 1.20.10, instalasi default Krpano tidak rentan,” kata peneliti kepada Hacker News melalui email. “Namun, mengkonfigurasi passqueryparameter dalam kombinasi dengan parameter XML memungkinkan konfigurasi XML eksternal melalui URL, yang mengarah ke risiko XSS.”
“Versi yang dieksploitasi yang saya temui terutama adalah yang lebih tua, predasi versi 1.20.10.”
Kampanye, per Zaytsev, telah memanfaatkan kelemahan ini untuk membajak lebih dari 350 situs untuk menyajikan iklan samar yang terkait dengan pornografi, suplemen diet, kasino online, dan situs berita palsu. Terlebih lagi, beberapa halaman ini telah dipersenjatai untuk meningkatkan tampilan video YouTube.
Kampanye ini patut diperhatikan, paling tidak karena menyalahgunakan kepercayaan dan kredibilitas domain yang sah untuk muncul secara jelas dalam hasil pencarian, sebuah teknik yang disebut keracunan Optimasi Mesin Pencari (SEO), yang, pada gilirannya, dicapai dengan menyalahgunakan cacat XSS.
“XSS yang dipantulkan adalah kerentanan yang menyenangkan tetapi dengan sendirinya membutuhkan interaksi pengguna, dan salah satu tantangan terbesar adalah membuat orang mengklik tautan XSS yang Anda pantulkan,” kata Zaytsev. “Jadi menggunakan mesin pencari sebagai platform distribusi untuk XSS Anda adalah cara yang sangat kreatif dan keren untuk melakukannya.”
Mengikuti pengungkapan yang bertanggung jawab, rilis terbaru Krpano menghilangkan dukungan untuk konfigurasi eksternal melalui parameter XML, sehingga mengurangi risiko serangan XSS bahkan ketika pengaturan digunakan.
“Peningkatan embedpano () passqueryparameters keamanan: Data-URL dan URL eksternal umumnya tidak diizinkan sebagai nilai parameter lagi dan URL untuk parameter XML terbatas untuk berada dalam struktur folder saat ini,” menurut catatan rilis untuk versi 1.22.4 yang dirilis Minggu ini.
Saat ini tidak diketahui siapa yang berada di balik operasi besar -besaran, meskipun penyalahgunaan cacat XSS untuk melayani hanya mengarahkan kembali, sebagai lawan melakukan serangan yang lebih jahat seperti kredensial atau pencurian kue, meningkatkan kemungkinan sebuah perusahaan iklan dengan praktik yang dipertanyakan yang melayani ini melayani ini yang melayani ini, ini melayani ini yang melayani ini, ini melayani ini, ini melayani ini yang melayani ini, ini melayani ini yang melayani ini, ini melayani ini yang melayani ini, ini melayani ini yang melayani ini, ini melayani ini yang menyajikan ini, Iklan sebagai strategi monetisasi.
Pengguna Krpano disarankan untuk memperbarui instalasi mereka ke versi terbaru dan mengatur pengaturan “PassqueryParameters” ke False. Pemilik situs web yang terpengaruh disarankan untuk menemukan dan menghapus halaman yang terinfeksi melalui Google Search Console.
