Tehdit aktörleri, 14 yıl önce dünya çapında eğitim ve devlet kuruluşlarını kötü niyetli siteler veya dolandırıcılıklarla zehirlemek için eğitim ve devlet kuruluşlarından ödün vermesi için durdurulan bir CMS editöründen yararlanıyor.
Açık yönlendirmeler, kasıtlı olarak veya bir kusur yoluyla web sitelerinin, kullanıcıları orijinal siteden yeterli doğrulama veya güvenlik kontrolleri olmadan harici bir URL'ye götüren keyfi yeniden yönlendirme isteklerine izin verdiği zamandır.
Örneğin, ziyaretçileri belirtilen URL'ye yönlendiren https://www.example.com/?rirect= adresinde bir URL varsa ve herkes bu URL'yi seçtikleri bir siteye değiştirebilirse, açık bir yönlendirme olarak kabul edilir. .
Saldırganlar, meşru alanlardan kaynaklandığı görülürken kimlik avı saldırıları yapmak, kötü amaçlı yazılım dağıtmak veya kullanıcıları dağıtmak için bu açık yönlendirmeleri kötüye kullanırlar. URL'ler güvenilir alanlarda barındırıldığından, güvenlik ürünleri tarafından kullanılan URL filtrelerini atlamalarına izin verebilir.
Ayrıca, arama motoru tarayıcıları yönlendirmeleri dizine ekler ve Google arama sonuçlarında listeleyerek SEO zehirleme kampanyaları için etkili bir strateji haline getirir ve güvenilir bir alandan belirli sorgular için kötü amaçlı URL'leri daha yüksek sıralaması için kullanır.
Açık yönlendirme URL'leri kötü amaçlı içeriği doğrudan barındırmadığından, yalnızca bunu işaret etmediğinden, yayından kaldırma için rapor edilene kadar uzun süre arama sonuçlarında aktif ve görünür kalabilirler.
Bununla birlikte, Google ve Microsoft da dahil olmak üzere birçok şirket açık yönlendirmeleri bir kusur düşünmez ve daha ciddi bir güvenlik açığına yol açmadıkça bunları düzeltmeyebilir.
Siber güvenlik araştırmacısı@G0NJXA, üniversite sitelerinde barındırılan 'Ücretsiz V Bucks' (Fortnite oyun içi para birimi) jeneratörleri için Google arama sonuçlarını gördükten sonra kötü amaçlı yönlendirme kampanyasını keşfetti.
Bu kampanyada saldırganlar tarafından kullanılan açık yönlendirme istekleri, kullanıcıların HTML içeriğini doğrudan bir web sayfasında düzenlemelerine olanak tanıyan bir zamanlar popüler bir web metin düzenleyicisi olan FCKEditor ile ilgilidir.
2009 yılında, FCKEDITOR yeniden markalandı ve önemli ölçüde yenilendi, bu da daha modern bir kod tabanı kullanan, çağdaş web standartlarıyla gelişmiş kullanılabilirlik ve uyumluluk sunan ve geliştiricisi tarafından aktif olarak desteklenen CKEditor'un lansmanı ile sonuçlandı.
Bir Twitter iş parçacığında, G0NJXA, bu kampanyanın hedeflediği ve öncelikle MIT, Columbia Üniversitesi, Universitat de Barcelona, Auburn Üniversitesi, Washington Üniversitesi, Purdue, Tulane, Universidad Del Ecuador ve Üniversite gibi eğitim kurumlarını hedefleyen çeşitli kuruluşları listeler. Hawaiʻi.
Bununla birlikte, kampanya aynı zamanda Virginia hükümet sitesi, Austin, Teksas hükümet sitesi, İspanya hükümet sitesi ve Sarı Sayfalar Kanada da dahil olmak üzere eski FCKeditor eklentisini kullanan hükümet ve kurumsal siteleri de hedefliyor.
BleepingComputer'ın testlerinden, tehlikeye atılan FCKeditor örneklerinin statik HTML sayfaları ve yönlendirmelerinin kötü amaçlı sitelere yönlendirildiğini keşfettik.
Statik HTML sayfaları meşru alan altında açılır ve arama motorunu kötü niyetli sonuçlarla zehirlemek için kullanılır.
Örneğin, Google'daki bağlantılardan biri, bir HTML sayfasının tinnitus ilaçları hakkında bir haber makalesi gibi davrandığı aum.edu sitesindeki FCKeditor örneğine gider.
Ancak makale, Google'ın sayfaları dizine ekleyecek şekilde AUM'un web sitesinde yüklü tehlikeye atılan FCKeditor örneğinde diğer içerik sayfalarını tanıtmak için tasarlanmıştır. Bu sayfalar arama motorlarında sıralandıktan sonra, tehdit aktörleri muhtemelen onları kötü amaçlı sitelere yönlendirmeleri için değiştirecektir.
Bu kampanyadaki diğer URL'ler, ziyaretçileri dolandırıcılık sitelerine, sahte haber makalelerine, kimlik avı sayfalarına, hackleme yardım sitelerine veya kötü niyetli tarayıcı uzantılarına yönlendirmek için FCKEditor'u kötüye kullanacaktır.
Yazılım üreticisi, FCKEditor'un 2010'dan beri kullanımdan kaldırıldığını ve artık kimsenin kullanmaması gerektiğini söyleyerek X hakkındaki açık yönlendirmeler kampanya raporuna yanıt verdi.
Ne yazık ki, bu durumda 13 yılı aşkın bir süredir durdurulan yazılımı kullanarak üniversite ve hükümet sitelerini görmek nadir değildir.
Geçmişte, tehdit aktörlerinin, kullanıcıları sahte sadecefanlara ve yetişkin sitelerine yönlendirmek için hükümet sitelerinde açık yönlendirmeleri istismar ettikleri benzer kampanyalar gördük.
Danimarka okullara google'a öğrenci verileri göndermeyi bırakmasını emreder
DHS çalışanları, 200K ABD Hükümet İşçilerinin verilerini çaldığı için hapsedildi
Kansas State University Cyberattack BT Ağı ve Hizmetlerini Keser
Google Arama Hatası Android için Firefox'ta boş sayfa gösteriyor
Swift Güvenlik Açığı Tespiti için Cezai IP ve Tenable Ortak
Kaynak: Bleeping Computer