Una vulnerabilidad de cross-site scripting (XSS) en el framework Krpano, utilizado para embeber imágenes y vídeos 360° en páginas web e implementar tours virtuales y experiencias de realidad virtual (VR), ha sido explotada para realizar una campaña masiva de spam manipulando los resultados de búsqueda.

Según Oleg Zaytsev, investigador que descubrió este ataque, afectó a más de 350 sitios web diferentes, incluyendo portales gubernamentales, sitios de gobiernos estatales de Estados Unidos, universidades estadounidenses, importantes cadenas hoteleras, medios de comunicación, concesionarios de automóviles y varias listas de la lista Fortune 500. Afirma: «Esto no era una simple operación de spam. Era un abuso a escala industrial de dominios de confianza.»

Según Zaytsev, descubrió accidentalmente la vulnerabilidad tras encontrar un anuncio de contenido pornográfico entre los resultados de búsqueda de Google cuya URL apuntaba a un subdominio del sitio web oficial de la Universidad de Yale:

https://virtualtour.quantuminstitute.yale.edu/?id=yuxs&xml=https://staging-prep-cms.scouts.org.uk/lnk/video/?video=video-xx-indain-girl-xxx-xxxxxxx-xvid-60159.html

Este subdominio hace referencia a un tour virtual del Instituto de Cuántica de Yale, pero la URL contenía un parámetro cuyo valor era otra URL de un sitio web legítimo, de la Asociación Scout de Reino Unido. El subdominio de esta segunda URL había sido secuestrado a través de una cuenta abandonada de Azure. Al peticionar a dicha URL, se obtiene un documento XML con una carga útil codificada en Base64. Al decodificar y ejecutarse, el anuncio se carga a un tercer sitio web legítimo.

Como resultado, la URL aparentemente legítima de la Universidad de Yale redirigía al contenido pornográfico. Si se elimina el parámetro xml, la redirección no ocurre y se accede al tour virtual.

Configuración insegura

Uno de los parámetros de configuración de los panoramas de Krpano es passQueryParameters, el cual permitía indicar si se permitía pasar parámetros de URL (query parameters) al visor panorámico. Específicamente en este caso, al permitir pasar el parámetro xml, el atacante puede construir una URL que ejecute un script malicioso en el navegador de la víctima al visitar el sitio vulnerable.

Fuente: https://krpano.com/docu/embedpano/#passQueryParameters 

Durante años, passQueryParameters estaba configurado por defecto a true, indicando que cualquier parámetro de la URL se pasará al visor. Sería a partir de la versión 1.20.10 de la librería que el valor por defecto se cambiaría a false, y además se permitiría pasar únicamente los parámetros nombrados en una lista blanca, quedando deprecada la opción de pasar todos los parámetros.

Posteriormente, en la versión 1.22.4, se restringirían los valores de los parámetros que se permitiría pasar al visor:

• No se pasarán las URL que empiecen por data:// ni las URL externas.
• Los valores del parámetro xml que se pasarán se restringen a aquellos dentro de la estructura de carpetas actual.

Usando técnicas de Google dorking, Zaytsev descubrió que éste no es el único caso de XSS que explota Krpano. Más de 350 sitios web han sido utilizados para realizar envenenamiento SEO (SEO poisoning) y distribuir spam y anuncios potencialmente maliciosos.

Los sitios afectados son muy populares y reciben millones de visitas al mes. Algunos de ellos mostraban distintos tipos de anuncios, no solo sobre pornografía, sino también sobre suplementos dietéticos, casinos en línea, sitios web de fake news, etc., mientras que otros se utilizaron para aumentar las visitas a vídeos de YouTube.

Concretamente, el sitio web del gobierno de Utah llegó a tener más de 100 resultados de spam indexados, y el sitio web de CNN no realizaba ninguna redirección, sino que utilizaba la estructura y estética del sitio web de la CNN para mostrar un artículo promocional sobre casinos, aprovechando la confianza de los usuarios.

Se observa una campaña optimizada: los atacantes controlaban el título, la descripción y la miniatura de los resultados de las búsquedas, falsaban las puntuaciones de las reseñas y usaban cadenas de texto aleatorias en cada título para hacer que cada resultado sea único.

i has detectado problemas de seguridad en un sitio web que utiliza Krpano, es fundamental tomar medidas para mitigar riesgos y evitar que el sitio sea explotado por atacantes. A continuación, se presentan algunas recomendaciones clave para proteger la instalación y garantizar un entorno más seguro.

Recomendaciones:

• Actualizar todas las instancias de Krpano a la última versión.
• Configurar passQueryParameters a false (o indicar únicamente parámetros que no den lugar a la ejecución de código).
• Utilizar la Google Search Console para identificar y eliminar las páginas infectadas de los resultados de búsqueda.

Más información:

• 360XSS: Mass Website Exploitation via Virtual Tour Framework for SEO Poisoning https://olegzay.com/360xss
• krpano Panorama Viewer https://krpano.com/home
• Hackers Exploited Krpano Framework Flaw to Inject Spam Ads on 350+ Websites https://thehackernews.com/2025/02/hackers-exploited-krpano-framework-flaw.html

Fuentes:

https://unaaldia.hispasec.com/2025/03/360xss-inyeccion-masiva-de-anuncios-a-traves-de-panoramas-virtuales.html