Hackers Exploited Krpano Framework Flaw to Inject Spam Ads on 350+ Websites
- 사건 개요
- 360XSS 캠페인: Krpano 가상 투어 프레임워크의 반사형 XSS(크로스 사이트 스크립팅) 취약점을 악용하여 350개 이상의 웹사이트에 악성 스크립트 삽입
- 피해 대상: 정부 포털, 미국 주정부 사이트, 대학, 호텔 체인, 뉴스 사이트, 자동차 딜러, Fortune 500 기업 포함
- 공격 목적: 검색 결과 조작, 스팸 광고 캠페인 수행
- 취약점 상세 (CVE-2020-24901)
- Krpano의 "passQueryParameters" 옵션을 활용한 XML 매개변수 조작
- Base64 인코딩된 페이로드를 사용해 최종 광고 URL을 다른 정상 사이트에서 가져옴
- URL 파라미터를 통해 피해자의 웹 브라우저에서 악성 스크립트를 실행하도록 유도
- 해당 취약점은 2020년 말 공개, CVSS 점수: 6.1
- 공격 방식
- 검색 엔진 최적화(SEO) 독성 기법 사용
- 신뢰할 수 있는 도메인을 광고 페이지로 리다이렉션
- 사용자가 검색 결과를 클릭하도록 유도하여 XSS 스크립트 실행
- 피해 사이트에는 포르노 광고, 다이어트 보조제, 온라인 카지노, 가짜 뉴스 사이트 등 노출
- 일부 페이지는 YouTube 조회수 증가를 위해 사용됨
- 검색 엔진 최적화(SEO) 독성 기법 사용
- 보안 권고
- Krpano는 최신 버전(1.22.4)에서 외부 XML 구성 지원을 제거
- 보안 기능 강화
- data-urls 및 외부 URL 사용 제한
- XML 파라미터의 URL은 현재 폴더 구조 내에서만 허용
- Krpano 사용자에 대한 권고
- 최신 버전으로 업데이트 필수
- "passQueryParameters" 설정을 "false"로 비활성화
- 감염된 페이지 제거 방법
- Google Search Console을 사용해 감염된 페이지 검색 및 제거
- 결론
- 반사형 XSS 취약점은 사용자 상호작용이 필요하므로, 이를 검색 엔진 배포 플랫폼으로 활용한 점이 창의적이고 위험한 기법
- 웹 애플리케이션 개발 시
- 입력값 검증을 강화하고 외부 URL 허용 차단
- HTTP 파라미터 전달 시 허용 목록(allowlist) 사용 권장
- 웹사이트 운영자는 정기적인 보안 점검과 취약점 관리 프로그램을 통해 유사한 공격에 대비 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| SOC 3.0, AI를 통한 보안 운영 센터(SOC)의 진화와 인재 역량 강화 (0) | 2025.03.10 |
|---|---|
| MITRE, AI 보안 도전과제 해결 위한 OCCULT 프레임워크 발표 (0) | 2025.03.10 |
| Ghostwriter 악성코드, 정부 기관 대상 무기화된 Excel 파일을 활용한 공격 (0) | 2025.03.10 |
| LCRYX 랜섬웨어, 시스템 도구 차단 및 고급 은폐 기술로 Windows 시스템 공격 (0) | 2025.03.10 |
| 2025년 새롭게 등장한 랜섬웨어 그룹과 데이터 유출 사이트(DLS) 증가 (0) | 2025.03.10 |