Кросс-сайтовая уязвимость (XSS) в фреймворке виртуальных туров Krpano, зарегистрированная как CVE-2020-24901, была обнаружена в конце 2020 года и использовалась для внедрения вредоносных объявлений на многих сайтах. Злоумышленники создавали специально сконфигурированные URL, использующие параметр "passQueryParameters" для передачи вредоносного XML, что приводило к выполнению Base64-кодированного полезного груза.
Атака начинается с использования XML-параметра, предназначенного для перенаправления посетителей на легитимный сайт. При декодировании полезной нагрузки происходит обращение к другому проверенному ресурсу для получения конечного URL рекламного объявления. Такой механизм позволяет обойти стандартные меры безопасности при обработке HTTP-параметров.
Уязвимость затрагивала версии Krpano до версии 1.20.10, когда изменение настройки позволило ограничить передачу параметров, однако повторное добавление проблемного XML-параметра вновь открыло возможность эксплуатации уязвимости. Недавно в версии 1.22.4 была усовершенствована функция embedpano(), которая теперь запрещает использование data-urls и внешних URL в качестве значений параметров, разрешая XML-параметрам работать только в рамках локальной структуры.
Кампания, получившая название "360XSS", затронула свыше 350 сайтов, включая государственные порталы, ресурсы штатов США, американские университеты, например домен virtualtour.quantuminstitute.yale[.]edu, а также крупные гостиничные сети, новостные издания, автосалоны и организации из списка Fortune 500.
В результате атаки на заражённые сайты вставлялись рекламные скрипты, содержащие материалы порнографического характера, рекламу диетических добавок, онлайн-казино, фейковые новости и даже использовались для искусственного поднятия просмотров видео на YouTube. Такой подход позволяет злоумышленникам злоупотреблять доверием известных доменов и заниматься SEO-подделкой.
Исследователь Олег Зайцев, автор отчёта для The Hacker News, охарактеризовал данную практику как «индустриальное злоупотребление доверенными доменами». Он обратил внимание на творческий метод использования поисковых систем для распространения XSS-ссылок, что выходит за рамки простой спам-операции.
Пользователям фреймворка Krpano рекомендуется обновить установленные версии до последних, а также отключить настройку "passQueryParameters". Владельцам сайтов следует оперативно удалять заражённые страницы с помощью инструментов, например, Google Search Console, чтобы минимизировать негативные последствия.
Применение технологии встраивания 360° изображений и видео для создания виртуальных туров демонстрирует, как критична своевременная настройка параметров безопасности в веб-фреймворках. Корректная конфигурация и обновление ПО являются ключевыми мерами для предотвращения подобных атак.
Изображение носит иллюстративный характер
Атака начинается с использования XML-параметра, предназначенного для перенаправления посетителей на легитимный сайт. При декодировании полезной нагрузки происходит обращение к другому проверенному ресурсу для получения конечного URL рекламного объявления. Такой механизм позволяет обойти стандартные меры безопасности при обработке HTTP-параметров.
Уязвимость затрагивала версии Krpano до версии 1.20.10, когда изменение настройки позволило ограничить передачу параметров, однако повторное добавление проблемного XML-параметра вновь открыло возможность эксплуатации уязвимости. Недавно в версии 1.22.4 была усовершенствована функция embedpano(), которая теперь запрещает использование data-urls и внешних URL в качестве значений параметров, разрешая XML-параметрам работать только в рамках локальной структуры.
Кампания, получившая название "360XSS", затронула свыше 350 сайтов, включая государственные порталы, ресурсы штатов США, американские университеты, например домен virtualtour.quantuminstitute.yale[.]edu, а также крупные гостиничные сети, новостные издания, автосалоны и организации из списка Fortune 500.
В результате атаки на заражённые сайты вставлялись рекламные скрипты, содержащие материалы порнографического характера, рекламу диетических добавок, онлайн-казино, фейковые новости и даже использовались для искусственного поднятия просмотров видео на YouTube. Такой подход позволяет злоумышленникам злоупотреблять доверием известных доменов и заниматься SEO-подделкой.
Исследователь Олег Зайцев, автор отчёта для The Hacker News, охарактеризовал данную практику как «индустриальное злоупотребление доверенными доменами». Он обратил внимание на творческий метод использования поисковых систем для распространения XSS-ссылок, что выходит за рамки простой спам-операции.
Пользователям фреймворка Krpano рекомендуется обновить установленные версии до последних, а также отключить настройку "passQueryParameters". Владельцам сайтов следует оперативно удалять заражённые страницы с помощью инструментов, например, Google Search Console, чтобы минимизировать негативные последствия.
Применение технологии встраивания 360° изображений и видео для создания виртуальных туров демонстрирует, как критична своевременная настройка параметров безопасности в веб-фреймворках. Корректная конфигурация и обновление ПО являются ключевыми мерами для предотвращения подобных атак.
