Actorii de amenințare exploatează un editor CMS întrerupt acum 14 ani pentru a compromite entități din domeniul educației și guvernamentale din întreaga lume pentru a contamina rezultatele căutării cu site-uri sau scheme malitioase.
Redirectările deschise sunt atunci când site-urile web, fie intenționat, fie printr-o defecțiune, permit solicitări arbitrare de redirecționare care duc utilizatorii de pe site-ul original către un URL extern fără o validare adecvată sau verificări de securitate.
De exemplu, dacă exista un URL la https://www.example.com/?redirect=
Atacatorii abuzează aceste redirectări deschise pentru a efectua atacuri de pescuit, a distribui malware sau a păcăli utilizatorii, apărând a proveni de la domenii legitime. De asemenea, căutătorii de motoare de căutare indexează redirectările și le listează în rezultatele căutării Google, făcându-le o strategie eficientă pentru campaniile de SEO poisoning, folosind un domeniu de încredere pentru a clasifica URL-urile malitioase mai sus pentru anumite interogări.
Deoarece URL-urile de redirectare deschisă nu găzduiesc conținutul malitios direct, ci doar îl indică, acestea pot rămâne active și vizibile în rezultatele căutării pentru o perioadă lungă de timp până când sunt raportate pentru eliminare.
Cu toate acestea, multe companii, inclusiv Google și Microsoft, nu consideră redirectările deschise o defecțiune și s-ar putea să nu le repare decât dacă duc la o vulnerabilitate mai severă.
Cercetătorul în securitate cibernetică @g0njxa a descoperit campania de redirectare malitioasă după ce a văzut rezultatele căutării Google pentru generatoarele de ‘Free V Bucks’ (moneda din jocul Fortnite) găzduite pe site-urile universitare.
Solicitările de redirectare deschisă folosite de atacatori în această campanie sunt legate de FCKeditor, un editor de text web odată popular care permite utilizatorilor să editeze conținut HTML direct într-o pagină web.
Într-un fir de discuții de pe Twitter, g0njxa listează diversele organizații vizate de această campanie, vizând în principal instituții educaționale, cum ar fi MIT, Columbia University, Universitat de Barcelona, Auburn University, University of Washington, Purdue, Tulane, Universidad Central del Ecuador și University of Hawaiʻi.
Însă, campania vizează și site-uri guvernamentale și corporative folosind plugin-ul învechit FCKeditor, inclusiv site-ul guvernamental al Virginiei, site-ul guvernamental al Austin, Texas, site-ul guvernamental al Spaniei și Pagini Aurii Canada.
Din testele efectuate de BleepingComputer, am descoperit că instanțele compromise FCKeditor folosesc o combinație de pagini HTML statice și redirectări către site-uri malitioase.
Paginile HTML statice se deschid sub domeniul legitim și sunt folosite pentru a contamina motorul de căutare cu rezultate malitioase.
De exemplu, unul dintre linkurile din Google duce către instanța FCKeditor de pe site-ul aum.edu, unde o pagină HTML pretinde a fi un articol de știri despre remedii pentru tinitus.
Însă, articolul este conceput pentru a promova alte pagini de conținut pe instanța compromisă FCKeditor instalată pe site-ul AUM, astfel încât Google va indexa paginile. Odată ce aceste pagini sunt clasate în motoarele de căutare, actorii de amenințare probabil le vor schimba pentru redirectări către site-uri malitioase.
Alte URL-uri din această campanie vor pur și simplu abuza FCKeditor pentru a redirecționa vizitatorii către site-uri de înșelăciune, articole de știri false, pagini de pescuit, site-uri de asistență în hacking sau extensii de browser malitioase.
Producătorul software-ului a răspuns la raportul campaniei de redirectare deschisă pe X, spunând că FCKeditor a fost întrerupt din 2010 și nimeni nu ar trebui să-l mai folosească.
Din păcate, nu este neobișnuit să vedem site-uri universitare și guvernamentale folosind software care a fost întrerupt de mult timp, în acest caz, de peste 13 ani.
În trecut, am văzut campanii similare în care actorii de amenințare abuzau de redirectările deschise pe site-urile guvernamentale pentru a redirecționa utilizatorii către site-uri false OnlyFans și pentru adulți.
Leave a Reply