Чувствительность сценариев Intsyate (XSS) в популярной рамках для виртуальных 360 ° Тур использовалась злоумышленниками для массового введения вредоносных сценариев для сотен веб -сайтов. Целью атаки является манипулирование результатами поиска и большой кампании по продвижению спам -рекламы.

Как сообщалось Независимый исследователь безопасности Олег Зейтев, кампания под названием 360xss, более 350 мест, включая государственные порталы, университеты, отели, автодилеры и крупные компании из списка Fortune 500.

Все эти веб-сайты использовались в популярной структуре KRPANO-A для встраивания 360 ° Izobrates и видео, с помощью которого вы можете создать виртуальные туры. Зайцев случайно обнаружил кампанию, когда увидел рекламу порнографического контента, которая была поднята Доменом Йельского университета.

Механизм атаки основан на передаче параметра XML, с помощью которого вы можете загрузить внешнюю конфигурацию. Злоусовеченный код, шифруемый в Base64, был выполнен при пересечении заменного URL, что привело к тому, что рекламные страницы были отведены. Функция араметра Pass запроса, используемая в KRPANO, с помощью которой параметры HTTP были перенесены в обработчик, что позволяет работать XSS. уязвимость Полем

Проблема в Krpano уже была известна в 2020 году, когда была зарегистрирована уязвимость CVE-2020-24901 С оценкой 6,1 по шкале CVSS. Затем были опубликованы разработчики структуры, версия 1.20.10, с механизмом передачи параметров ограничен списком допустимых значений. Тем не менее, исследование показало, что явное добавление параметра XML в исключительное список снова открывает возможность атаки.

По словам Зейтева, злоумышленники использовали восприимчивость к массовой записи заслуживающих доверия доменов для продвижения рекламы, питательных веществ, фальшивых новостей и даже увеличения взглядов на YouTube. Использование XSS для SEO -яда позволило увеличить результаты результатов поиска и создать иллюзию их легитимности.

Хотя XSS требует взаимодействия с пользователем, распределение слева через поисковые системы сделало атаку особенно эффективным. Зайцев назвал этот метод очень творчески и подчеркнул, что он может легко справляться с традиционными защитными мерами.

После того, как проблема была раскрыта, разработчики KRPANO опубликовали обновление 1.22.4, которое полностью определяет поддержку внешних конфигураций XML. Теперь параметр проходов Queryparameters не может использовать URL, который выходит за рамки текущего каталога.

Личность нападавших остается неизвестной, но тип атаки показывает рекламную сеть с сомнительными методами монетизации. Все владельцы веб -сайтов, которые используют KRPANO, рекомендуется обновить структуру до последней версии и деактивировать Pass Aramants. Для тех, кто уже пострадал, рекомендуется найти и удалять зараженные страницы, используя консоль поиска Google.