Krpano 360° の脆弱性 CVE-2020-24901 を悪用:検索結果を操作する大規模な XSS キャンペーン

Over 350 High-Profile Websites Hit by 360XSS Attack

2025/02/28 HackRead — 360XSS と呼ばれるキャンペーンは、Krpano の XSS の脆弱性を悪用することで検索結果を乗っ取り、政府/大学/報道などの 350 以上の Web サイトでスパム広告を配信するものだ。

仮想ツアー・フレームワーク Krpano 内の XSS 脆弱性を悪用する大規模なキャンペーンが、サイバーセキュリティ研究者である Oleg Zaytsev により発見された。この “360XSS” 攻撃で用いられる手口は、検索エンジンの操作と大量の広告配信である。

この Krpano とは、没入型の 360° エクスペリエンスを可能にするために、広く利用されているソフトウェア・ツールであり、仮想環境でのパノラマ画像や動画をユーザーに提供するものだ。

Oleg Zaytsev は、「この攻撃は、Krpano VR ライブラリに存在する、反射型クロスサイト・スクリプティング (XSS) の脆弱性 CVE-2020-24901 を悪用するものだと判明した。この脆弱性は、Krpano フレームワーク内のコンフィグ (passQueryParameter) に存在し、クエリ・パラメータをフレームワークのコンフィグに対して、デフォルトではダイレクトに受け渡すようになっている」と、HackRead と共有している。

それにより、任意の XML を挿入する攻撃者は、反射型 XSS を引き起こすことが可能となる。この欠陥は、デフォルト設定で有効化され、パッチがリリースされるまでの間に広範囲で悪用されていた。残念なことに、そのためのパッチは、フレームワーク開発者自身のサイトを含む、多数の Web サイトで適用されていなかった。

このキャンペーンが発覚したのは、予期しないアダルト・コンテンツの検索結果が、有名大学のドメインで表示されたときである。さらに調査を進めると、そのサイトは Krpano フレームワークをバーチャル・ツアーに使用しており、URL 内の特定のパラメータが悪用されて、悪意のコードが挿入されていたことが判明した。このコードはユーザーをスパム広告にリダイレクトしており、単純な Web サイトの改ざんを超えた、高度な攻撃であることが明らかにされた。

このキャンペーンの規模は大きなものであり、政府系ポータル/教育機関/報道機関/大企業などの、数百の Web サイトが侵害されていた。この XSS の脆弱性を悪用する攻撃者は、検索エンジンの結果を操作し、検索リストの一番上にスパム広告を表示するという、悪質なスクリプトの挿入を成功させていた。この、SEO ポイズニングと呼ばれる手法により、侵害したドメインの権限を悪用する攻撃者は、悪意の広告の可視性を高めることに成功していた。

このキャンペーンの影響は広範囲に及んでおり、さまざまな分野の 350件を超える Web サイトが侵害された。被害者のリストには、機密性の高い政府系ポータル/州政府サイト/米国の主要大学/有名ホテル・チェーン/自動車販売店/Firtune 500 企業などに加えて、CNN や Geo.tv などのニュース・サイトも含まれる。この攻撃者が、ユーザー・データへのダイレクトな攻撃ではなく、広告配信に焦点を絞っているという状況から、アラブのグループによる計算されたアプローチだと示唆される。

Over 350 High-Profile Websites Hit by 360XSS Attack
Image via Oleg Zaytsev

Oleg Zaytsev は、「このキャンペーンの背後にいる人物は謎であるが、調査中に見つけた広告/パターン/ランダムな痕跡をベースにすると、私が見た限りでは、多くの手掛かりにより、アラブのグループの実行が示唆される」と、ブログ投稿で述べている。

さらに、影響を受ける組織に対して、脆弱性を報告する取り組みが、困難であることが判明している。この件に関して、正式な開示プログラムがなかったと、多くの組織が指摘していると、Oleg Zaytsev は述べている。その一方で、Krpano の開発者はパッチのリリースで、この問題に対処しており、一部の組織は前向きに反応していた。Krpano フレームワークを使用している組織に対して、強く推奨されるのは、最新バージョンへと速やかに更新し、脆弱なコンフィグ設定を無効化することだ。

Seraphic Security の Field CTO である Eran Elshech が強調するのは、攻撃の手法が、マルウェアからブラウザの脆弱性と Web フレームワークの悪用に移行していることだ。この 360XSS キャンペーンが示すのは、既知の XSS 脆弱性が容易に悪用され、信頼できるサイトが侵害され、検索結果を操作へと至り、スパム広告のための Web プロパティの乗っ取りが達成されたことだ。

この種の攻撃のスケーラビリティとステルス性により、攻撃者は最小限の労力でトラフィックの多いサイトに侵入し、ユーザーのデバイスに直接アクセスすることなく、大規模なオーディエンスにリーチできるため、きわめて効果的な攻撃が可能になると、Eran Elshech は警告している。

パノラマ画像を Web 上で表示するためのソフトウェアである、Krpano の脆弱性を悪用したキャンペーンが発見されました。パッチがリリースされていたにもかかわらず 350件を超える Web サイトが侵害され、スパム広告が拡散されたという、このインシデントは、セキュリティ・パッチを迅速に適用することの重要性を物語っていると感じます。また、ユーザー側も検索結果を鵜呑みにしないよう、注意する必要がありますね。よろしければ、XSS で検索も、ご参照下さい。