警惕！全景框架Krpano漏洞遭大规模利用，350+网站被植入垃圾广告

原创 Hankzheng 技术修道场 2025-02-28 00:18

近日，知名虚拟导览框架Krpano的一个跨站脚本（XSS）漏洞被黑客大规模利用，超过350个网站被注入恶意脚本，用于操纵搜索结果并推广垃圾广告。

安全研究员Oleg Zaytsev发现了一场名为“360XSS”的网络攻击活动，该活动利用了虚拟导览框架Krpano的一个XSS漏洞。受影响的网站超过350个，其中包括政府门户网站、美国州政府网站、美国大学、大型连锁酒店、新闻媒体、汽车经销商以及多家财富500强公司。

Zaytsev表示：“这不仅仅是一次垃圾邮件行动，这是对可信域名的一次工业级滥用。”

这些受影响的网站都有一个共同点：它们都使用了Krpano框架来嵌入图像和视频，以提供交互式虚拟导览和VR体验。

研究人员在Google搜索中发现了一个与耶鲁大学域名（”virtualtour.quantuminstitute.yale[.]edu”）相关联的色情广告，从而发现了这次攻击活动。

这些恶意URL中包含一个XML参数，该参数旨在将访问者重定向到另一个合法网站的URL，然后通过XML文档执行Base64编码的有效载荷。解码后的有效载荷会从另一个合法站点获取目标URL（即广告）。

原始URL中的XML参数是名为“passQueryParameters”的配置设置的一部分，该设置用于将Krpano全景查看器嵌入HTML页面，并允许将HTTP参数从URL传递到查看器。

安全问题在于，如果启用了此选项，攻击者就可以使用特制的URL，在访问易受攻击的站点时，在受害者的Web浏览器中执行恶意脚本。

事实上，早在2020年底，Krpano就披露了一个由此行为引起的反射型XSS漏洞（CVE-2020-24901，CVSS评分：6.1）。这表明该漏洞被滥用的可能性已经公开了四年多。

尽管Krpano在1.20.10版本中引入了更新，将“passQueryParameters”限制在允许列表中，以防止此类XSS攻击，但Zaytsev发现，如果将XML参数显式添加到允许列表中，则会重新引入XSS风险。

“自1.20.10版本以来，Krpano的默认安装并不易受攻击，”研究人员通过电子邮件告诉The Hacker News。“但是，将passQueryParameter与XML参数结合配置允许通过URL进行外部XML配置，从而导致XSS风险。” “我遇到的被利用版本主要是早于1.20.10的旧版本。”

根据Zaytsev的说法，这次攻击活动利用这一漏洞劫持了超过350个网站，用于投放与色情、膳食补充剂、在线赌场和虚假新闻网站相关的可疑广告。此外，其中一些页面还被用来提高YouTube视频的观看次数。

这次攻击活动值得注意，因为它滥用了合法域名的信任度和可信度，使其在搜索结果中突出显示，这是一种被称为搜索引擎优化（SEO）投毒的技术，而这又是通过滥用XSS漏洞实现的。

“反射型XSS是一个有趣的漏洞，但它本身需要用户交互，最大的挑战之一是让人们点击你的反射型XSS链接，”Zaytsev说。“因此，使用搜索引擎作为XSS的分发平台是一种非常有创意和很酷的方式。”

在负责任的披露之后，Krpano的最新版本取消了对通过XML参数进行外部配置的支持，从而减轻了即使使用该设置时发生XSS攻击的风险。

根据本周发布的1.22.4版本的发行说明，“改进了embedpano() passQueryParameters的安全性：数据URL和外部URL通常不再允许作为参数值，XML参数的URL被限制在当前文件夹结构中。”

目前尚不清楚谁是这次大规模行动的幕后黑手，不过，滥用XSS漏洞仅仅是为了重定向，而不是进行更邪恶的攻击（如凭据或cookie窃取），这增加了一个可能性，即一家行为可疑的广告公司正在利用这些广告作为一种盈利策略。

建议：
– Krpano用户：
 立即更新到最新版本（1.22.4或更高版本），并将“passQueryParameters”设置设置为false。

• 网站管理员：
   通过Google Search Console等工具查找并删除受感染的页面。

总结：

此次事件再次提醒我们，即使是看似无害的漏洞，也可能被大规模利用，造成严重后果。网站开发者和管理员应保持警惕，及时更新软件，并密切关注安全漏洞的披露。