کمپین 360XSS از Krpano XSS برای ربودن نتایج جستجو و توزیع تبلیغات هرزنامه در بیش از 350 سایت، از جمله دولت، دانشگاهها و رسانههای خبری سوء استفاده میکند.
یک کمپین گسترده که از یک آسیبپذیری در چارچوب تور مجازی Krpano سوء استفاده میکند توسط محقق امنیت سایبری اولگ زایتسف کشف شده است. این حمله که "360XSS" نامیده شد، شامل دستکاری موتورهای جستجو و توزیع انبوه تبلیغات بود.
Krpano یک ابزار نرم افزاری پرکاربرد است که امکان ایجاد تجربیات 360 درجه همهجانبه را فراهم می کند و به کاربران امکان می دهد تصاویر و ویدیوهای پانوراما را در یک محیط مجازی کاوش کنند.
تحقیقات Zaytsev که با Hackread.com به اشتراک گذاشته شده است، نشان داد که این حمله از یک نقص اسکریپت نویسی متقابل (XSS) منعکس شده در کتابخانه Krpano VR که به عنوان CVE-2020-24901 ردیابی شده است، استفاده می کند. این آسیبپذیری در یک تنظیمات پیکربندی در چارچوب Krpano (passQueryParameter) قرار داشت که بهطور پیشفرض، اجازه میداد تا پارامترهای پرس و جو مستقیماً به پیکربندی چارچوب ارسال شوند.
این مهاجمان را قادر می سازد تا XML دلخواه را تزریق کنند که منجر به XSS منعکس شده می شود. تنظیمات پیشفرض این نقص را فعال کرده و منجر به بهرهبرداری گسترده تا زمان انتشار وصلهها شد. متأسفانه، در بسیاری از وبسایتها، از جمله سایت توسعهدهنده فریمورک، بدون اصلاح باقی ماند.
کشف این کمپین با یک نتیجه جستجوی غیرمنتظره برای محتوای بزرگسالان شروع شد که در دامنه یک دانشگاه معتبر ظاهر شد. تحقیقات بیشتر نشان داد که سایت از چارچوب Krpano برای تورهای مجازی استفاده میکند و یک پارامتر خاص در URL برای تزریق کد مخرب مورد سوء استفاده قرار میگیرد. این کد کاربران را به سمت تبلیغات اسپم هدایت میکرد که نشاندهنده یک حمله پیچیده فراتر از تخریب ساده وبسایت است.
مقیاس این کمپین با صدها وب سایت، از جمله پورتال های دولتی، مؤسسات آموزشی، رسانه های خبری و شرکت های بزرگ، قابل توجه بود. مهاجمان از آسیبپذیری XSS برای تزریق اسکریپتهای مخربی استفاده کردند که نتایج موتورهای جستجو را دستکاری میکردند و تبلیغات هرزنامهها را به بالای فهرستهای جستجو هدایت میکردند. این تکنیک که به عنوان مسمومیت سئو شناخته میشود، به آنها این امکان را میدهد تا از اعتبار دامنههای در معرض خطر برای افزایش دیده شدن تبلیغات خود استفاده کنند.
این کمپین تأثیر گسترده ای داشت و بیش از 350 وب سایت را در بخش های مختلف به خطر انداخت. این شامل پورتالهای حساس دولتی و سایتهای دولتی ایالتی، دانشگاههای بزرگ آمریکا، هتلهای زنجیرهای برجسته، رسانههای خبری معتبر مانند CNN و Geo.tv، نمایندگیهای خودرو و شرکتهای Fortune 500 بود. تمرکز مهاجمان بر توزیع تبلیغات، به جای حمله مستقیم به داده های کاربران، رویکردی حساب شده را احتمالاً توسط یک گروه عرب پیشنهاد می کند.
زایتسف در پست وبلاگ خود خاطرنشان کرد: "افراد پشت این کمپین یک راز باقی مانده اند، اما از آنچه من دیده ام، بسیاری از سرنخ ها حاکی از آن است که این کمپین توسط یک گروه عرب اداره شده است - بر اساس تبلیغات، الگوها و خرده نان های تصادفی که در طول تحقیقات خود پیدا کردم."
او همچنین خاطرنشان میکند که تلاشها برای گزارش آسیبپذیری به سازمانهای آسیبدیده چالشبرانگیز بود و بسیاری از آنها فاقد برنامههای رسمی افشا بودند. با این حال، برخی از سازمانها پاسخ مثبت دادند و توسعهدهندگان Krpano این مشکل را با یک وصله در نسخه بعدی حل کردند. به سازمانهایی که از چارچوب Krpano استفاده میکنند توصیه میشود که به آخرین نسخه بهروزرسانی شده و تنظیمات پیکربندی آسیبپذیر را غیرفعال کنند.
Eran Elshech، Field CTO در Seraphic Security، تأکید میکند که مهاجمان از بدافزار به سوء استفاده از آسیبپذیریهای مرورگر و چارچوبهای وب روی آوردهاند. کمپین 360XSS نشان می دهد که چگونه به راحتی از یک نقص شناخته شده XSS برای به خطر انداختن سایت های قابل اعتماد، دستکاری نتایج جستجو و ربودن ویژگی های وب برای تبلیغات هرزنامه استفاده شده است.
او هشدار می دهد که مقیاس پذیری و مخفی بودن چنین حملاتی آنها را بسیار مؤثر می کند، زیرا مهاجمان با کمترین تلاش به سایت های پربازدید نفوذ می کنند و بدون دسترسی مستقیم به دستگاه های کاربر به مخاطبان زیادی دسترسی پیدا می کنند.