‫ حمله 360XSS به بیش از 350 وب سایت پرمخاطب

کمپین 360XSS از Krpano XSS برای ربودن نتایج جستجو و توزیع تبلیغات هرزنامه در بیش از 350 سایت، از جمله دولت، دانشگاه‌ها و رسانه‌های خبری سوء استفاده می‌کند.
 

یک کمپین گسترده که از یک آسیب‌پذیری در چارچوب تور مجازی Krpano سوء استفاده می‌کند توسط محقق امنیت سایبری اولگ زایتسف کشف شده است. این حمله که "360XSS" نامیده شد، شامل دستکاری موتورهای جستجو و توزیع انبوه تبلیغات بود.

 Krpano یک ابزار نرم افزاری پرکاربرد است که امکان ایجاد تجربیات 360 درجه همهجانبه را فراهم می کند و به کاربران امکان می دهد تصاویر و ویدیوهای پانوراما را در یک محیط مجازی کاوش کنند.

تحقیقات Zaytsev که با Hackread.com به اشتراک گذاشته شده است، نشان داد که این حمله از یک نقص اسکریپت نویسی متقابل (XSS) منعکس شده در کتابخانه Krpano VR که به عنوان CVE-2020-24901 ردیابی شده است، استفاده می کند. این آسیب‌پذیری در یک تنظیمات پیکربندی در چارچوب Krpano (passQueryParameter) قرار داشت که به‌طور پیش‌فرض، اجازه می‌داد تا پارامترهای پرس و جو مستقیماً به پیکربندی چارچوب ارسال شوند.

این مهاجمان را قادر می سازد تا XML دلخواه را تزریق کنند که منجر به XSS منعکس شده می شود. تنظیمات پیش‌فرض این نقص را فعال کرده و منجر به بهره‌برداری گسترده تا زمان انتشار وصله‌ها شد. متأسفانه، در بسیاری از وب‌سایت‌ها، از جمله سایت توسعه‌دهنده فریم‌ورک، بدون اصلاح باقی ماند.

کشف این کمپین با یک نتیجه جستجوی غیرمنتظره برای محتوای بزرگسالان شروع شد که در دامنه یک دانشگاه معتبر ظاهر شد. تحقیقات بیشتر نشان داد که سایت از چارچوب Krpano برای تورهای مجازی استفاده می‌کند و یک پارامتر خاص در URL برای تزریق کد مخرب مورد سوء استفاده قرار می‌گیرد. این کد کاربران را به سمت تبلیغات اسپم هدایت می‌کرد که نشان‌دهنده یک حمله پیچیده فراتر از تخریب ساده وب‌سایت است.

مقیاس این کمپین با صدها وب سایت، از جمله پورتال های دولتی، مؤسسات آموزشی، رسانه های خبری و شرکت های بزرگ، قابل توجه بود. مهاجمان از آسیب‌پذیری XSS برای تزریق اسکریپت‌های مخربی استفاده کردند که نتایج موتورهای جستجو را دستکاری می‌کردند و تبلیغات هرزنامه‌ها را به بالای فهرست‌های جستجو هدایت می‌کردند. این تکنیک که به عنوان مسمومیت سئو شناخته می‌شود، به آن‌ها این امکان را می‌دهد تا از اعتبار دامنه‌های در معرض خطر برای افزایش دیده شدن تبلیغات خود استفاده کنند.

این کمپین تأثیر گسترده ای داشت و بیش از 350 وب سایت را در بخش های مختلف به خطر انداخت. این شامل پورتال‌های حساس دولتی و سایت‌های دولتی ایالتی، دانشگاه‌های بزرگ آمریکا، هتل‌های زنجیره‌ای برجسته، رسانه‌های خبری معتبر مانند CNN و Geo.tv، نمایندگی‌های خودرو و شرکت‌های Fortune 500 بود. تمرکز مهاجمان بر توزیع تبلیغات، به جای حمله مستقیم به داده های کاربران، رویکردی حساب شده را احتمالاً توسط یک گروه عرب پیشنهاد می کند.

زایتسف در پست وبلاگ خود خاطرنشان کرد: "افراد پشت این کمپین یک راز باقی مانده اند، اما از آنچه من دیده ام، بسیاری از سرنخ ها حاکی از آن است که این کمپین توسط یک گروه عرب اداره شده است - بر اساس تبلیغات، الگوها و خرده نان های تصادفی که در طول تحقیقات خود پیدا کردم."

او همچنین خاطرنشان می‌کند که تلاش‌ها برای گزارش آسیب‌پذیری به سازمان‌های آسیب‌دیده چالش‌برانگیز بود و بسیاری از آنها فاقد برنامه‌های رسمی افشا بودند. با این حال، برخی از سازمان‌ها پاسخ مثبت دادند و توسعه‌دهندگان Krpano این مشکل را با یک وصله در نسخه بعدی حل کردند. به سازمان‌هایی که از چارچوب Krpano استفاده می‌کنند توصیه می‌شود که به آخرین نسخه به‌روزرسانی شده و تنظیمات پیکربندی آسیب‌پذیر را غیرفعال کنند.

Eran Elshech، Field CTO در Seraphic Security، تأکید می‌کند که مهاجمان از بدافزار به سوء استفاده از آسیب‌پذیری‌های مرورگر و چارچوب‌های وب روی آورده‌اند. کمپین 360XSS نشان می دهد که چگونه به راحتی از یک نقص شناخته شده XSS برای به خطر انداختن سایت های قابل اعتماد، دستکاری نتایج جستجو و ربودن ویژگی های وب برای تبلیغات هرزنامه استفاده شده است.

او هشدار می دهد که مقیاس پذیری و مخفی بودن چنین حملاتی آنها را بسیار مؤثر می کند، زیرا مهاجمان با کمترین تلاش به سایت های پربازدید نفوذ می کنند و بدون دسترسی مستقیم به دستگاه های کاربر به مخاطبان زیادی دسترسی پیدا می کنند.