黑客利用热门框架中的XSS漏洞劫持350多个网站

Krpano 框架（一种用于嵌入 360° 图像和创建虚拟游览的流行工具）中的跨站点脚本 （XSS） 漏洞已被利用，将恶意脚本注入 350 多个网站。

这种广泛的活动纵搜索引擎结果并在互联网上传播垃圾邮件广告。

安全研究员 Oleg Zaytsev 在 Google 搜索上偶然发现一个与耶鲁大学域名相关联的可疑广告后，发现了这个被称为“360XSS”的活动。

该广告指向一个色情网站，引起了 Zaytsev 的怀疑并促使他进行调查。

Zaytsev 的调查显示，耶鲁大学子域正在运行 Krpano，该漏洞源于 URL 中“xml”参数的处理不当。

此参数用于指定外部 XML 配置文件的位置，可被利用来注入恶意代码。

攻击者使用了一个特制的 URL，其中包含一个 XML 参数，该 URL 将访问者重定向到另一个网站。

然后，该网站通过 XML 文档执行 Base64 编码的有效负载，最终将恶意脚本注入 Krpano 驱动的站点。注入的脚本为各种有问题的产品和服务投放广告，包括色情、膳食补充剂和在线赌场。

在某些情况下，被劫持的页面被用来提高 YouTube 浏览量。该活动的规模是巨大的，影响了广泛的网站，包括政府门户网站、州政府网站、大学、连锁酒店、新闻媒体、汽车经销商和财富 500 强公司。

其中许多网站每月吸引数百万访问者，扩大了恶意广告的覆盖范围。

该漏洞存在于一个名为“passQueryParameters”的配置设置中，启用该设置后，该设置允许将 URL 中的 HTTP 参数直接传递到 Krpano 查看器。

虽然 Krpano 开发人员试图在版本 1.20.10 中通过将“passQueryParameters”限制为允许列表来解决此问题，但将 XML 参数显式添加回允许列表会再次引入 XSS 风险。

Zaytsev 还发现，Krpano 自己的网站（其中包含 360° 游览框架的实时示例）也容易受到漏洞利用。

攻击者正在利用受感染域的信任和可信度在搜索结果中实现更高的排名，这种技术称为搜索引擎优化 （SEO） 中毒。

通过注入恶意链接并使用虚假的评论计数和星级评分对其进行优化，攻击者可以确保他们的广告出现在搜索结果的显眼位置。

例如，攻击者设法将一篇宣传在线赌场的虚假文章直接注入 CNN 的网站。同样，他们以同样的策略瞄准了巴基斯坦最大的新闻网站 geo.tv。

在 Zaytsev 负责任地披露之后，Krpano 开发人员发布了 1.22.4 版本。此版本消除了对通过 XML 参数进行的外部配置的支持，从而降低了 XSS 攻击的风险。

建议 Krpano 用户更新到最新版本并将“passQueryParameters”设置设置为“false”。还鼓励网站所有者使用 Google Search Console 来识别和删除任何受感染的页面。

原文来自: cybersecuritynews.com