360XSS

1. 개요

- 미상의 공격자가 Krpano의 reflected XSS 취약점을 악용해 대규모 스팸 광고 표시 [1]

- 정상 웹 사이트(정부 포털, 대학교, 언론 매체, 기업 등)를 SEO 도구로 악용

2. 주요 내용

- 교육적 목적으로 크롬 시크릿 모드에서 구글에 접속하여 "포르노"를 검색

> 예일대 도메인으로 포르노 광고가 표시되는 것을 확인

[사진 1] 예일대 도메인의 포르노 광고

- 서브도메인을 탈취해 사용자들을 악성 사이트로 연결되도록 공격을 진행한 것으로 의심

> 서브도메인이 관리되지 않거나, 서비스는 중단되었으나 DNS CNAME 레코드를 삭제하지 않은 경우 공격자가 동일한 자원을 재등록

> 기업의 서브도메인이 새로 등록된 공격자가 설정한 악성 사이트로 접속되도록 하는 공격

※ CNAME Record : DNS 내에서 별칭 역할을 하며 한 도메인 이름을 다른 도메인 이름으로 리디렉션

 

- 그러나 URL을 확인한 결과, xml 매개변수에 의심스러운 URL을 포함

> xml 매개변수 없이 URL에 접속하니 예일대 관련 정상 사이트로 접근됨

> 오픈 리다이렉션 공격을 의심해 xml 매개변수 값을 다른 URL로 변경하여 접속하였으나 오류 발생

hxxps://virtualtour.quantuminstitute.yale.edu/?id=yuxs&xml=hxxps://staging-prep-cms.scouts.org.uk/lnk/video/?video=video-xx-indain-girl-xxx-xxxxxxx-xvid-60159.html

 

- 다음으로 URL의 응답 내용을 조사해보니, 응답에 Base64로 인코딩된 값을 실행하는 eval() 함수가 확인

[사진 2] Base64 인코딩/디코딩 비교

- [사진 2]에서 확인된 <krpano> 태그는 360도 이미지와 비디오를 호스팅하는 데 사용되는 Krpano 프레임워크

> Krpano 프레임워크는 XML과 JavaScript를 통한 사용자 정의가 가능해 XSS 취약점이 존재

> 해당 공격 방식은 이미 CVE-2020-24901가 명명되었고, 보안 업데이트가 발표되어 있었음 [3]

> passQueryParameter 설정 문제로 인한 reflected XSS 취약점

⒜ 해당 값은 매개변수가 Krpano 구성으로 직접 전달되는지 여부를 제어

⒝ 설치 시 true로 설정되어있어 공격자가 매개변수를 악용해 XSS 공격이 가능

⒞ passQueryParameter를 허용 목록에 명시된 매개변수만 실행 가능하도록 패치 적용

[사진 3] passQueryParameter

- 공격자는 이를 악용해 SEO 포이즈닝을 위한 XSS 공격을 진행 (XSSEO)

> CVE-2020-24901 취약점이 존재하는 웹 사이트에 서브도메인 탈취 공격을 결합해 악성 광고를 표출되도록 함

> 기존 XSS 공격과 달리 단순히 광고를 목적으로 함 (비윤리적일 수는 있으나, 범죄에 해당하지 않음)

> 정부 포털, 대학, 언론 매체, 기업 등이 불법적인 홍보물을 유포하는 SEO 도구로 악용되고 있었음

[사진 4] XSSEO

- 대응방안

> 운영중인 웹 사이트에서 Krpano의 모든 인스턴스 식별

⒜ 최신 버전 업데이트 (1.22.4)

⒝ passQueryParameter 구성을 false로 설정

> Google Search Console을 활용해 감염된 페이지를 찾아 제거 [4]

3. 참고

[1] https://olegzay.com/360xss/
[2] https://krpano.com/home/
[3] https://nvd.nist.gov/vuln/detail/CVE-2020-24901
[4] https://search.google.com/search-console/about