-
▼
2025
(Total:
486
)
-
▼
marzo
(Total:
157
)
-
Telegram supera los mil millones de usuarios
-
Cómo un exploit de la NSA se convirtió en el orige...
-
¿Qué es JPEG XL?
-
¿Qué son los shaders y por qué debes esperar antes...
-
Neurodatos: qué son y por qué son el futuro
-
¿Qué es un ASIC?
-
Calibre 8.1 mejora su compatibilidad con macOS e i...
-
Alcasec vendió datos sensibles de 130.000 policías...
-
Hackean un proveedor de SMS y lo utilizan para rob...
-
Filtración masiva de 6 millones registros de Oracl...
-
Vulnerabilidades críticas en Veeam Backup e IBM AIX
-
IngressNightmare: vulnerabilidades críticas del co...
-
El 87% de lo usuarios hace copias de seguridad, pe...
-
Vulnerabilidad crítica en Next.js
-
Hacker antigobierno hackea casi una decena de siti...
-
Google confirma que el desarrollo de Android pasar...
-
Ubuntu 25.04 beta ya disponible, con GNOME 48 y Li...
-
Anthropic asegura haber descubierto cómo ‘piensan’...
-
ChatGPT, Gemini y Claude no pueden con un test que...
-
Amazon presenta ‘Intereses’ una IA que caza oferta...
-
Microsoft rediseña el inicio de sesión para que te...
-
¿Qué significa «in the coming days»? la tendencia ...
-
Por culpa de Trump, empresas y gobiernos europeos ...
-
Signal es seguro… hasta que invitas a un periodist...
-
ChatGPT puede crear imágenes realistas gracias al ...
-
Evolución del menú de inicio de Windows en casi 3...
-
Gemini 2.5 Pro es el “modelo de IA más inteligente...
-
DeepSeek presenta un nuevo modelo de IA optimizado...
-
Samsung y Google tienen casi listas sus gafas con ...
-
⚡️ NVMe sobre TCP/IP
-
🇰🇵 Corea del Norte se prepara para la ciberguerr...
-
🇨🇳 Los creadores de Deepseek tienen prohibido ir...
-
Microsoft usará agentes autónomos de IA para comba...
-
EU OS: La nueva alternativa Linux comunitaria para...
-
China presenta un arma capaz de cortar cualquier c...
-
Historia de Apple
-
Microsoft le dice a los usuarios de Windows 10 que...
-
ReactOS el «Windows de código abierto», se actualiza
-
Denuncia a OpenAI después de que ChatGPT le acusar...
-
💾 Seagate presenta un disco duro mecánico con int...
-
🤖 Claude ya permite buscar en internet para obten...
-
Meta AI llega finalmente a Europa, integrando su c...
-
Francia rechaza la creación de puertas traseras en...
-
🤖Cómo saber si una imagen o vídeo ha sido generad...
-
OpenAI presenta dos nuevos modelos de audio para C...
-
El cofundador de Instagram revela a lo que se dedi...
-
Vigilancia masiva con sistemas de posicionamiento ...
-
Las 20 mejores herramientas de Kali Linux para 2025
-
Cómo instalar Stable Diffusion (para generar imáge...
-
La primera versión de Kali Linux de 2025
-
Marruecos: más de 31,000 tarjetas bancarias divulg...
-
Modo Dios en Android Auto
-
Google anuncia el Pixel 9a, con funciones de IA, e...
-
Europa fuerza a Apple a abrir su ecosistema y acus...
-
La App Contraseñas de Apple fue durante tres meses...
-
Adiós, Photoshop: Gemini ahora te permite editar i...
-
Microsoft alerta de un troyano que desde Chrome ro...
-
Llevan meses explotando una vulnerabilidad de Chat...
-
Teclado que no utiliza letras, sino palabras compl...
-
La GPU se une a los discos duros basados en PCIe: ...
-
Un ciberataque compromete 330 GB de datos confiden...
-
NVIDIA presenta los modelos de razonamiento de IA ...
-
La mítica marca Española de calzado J´Hayber vícti...
-
La RAE confirma haber sufrido un ataque de ransomware
-
NVIDIA BlackWell RTX PRO 6000 con 96 GB de VRAM y ...
-
China construye una base submarina a 2 km de profu...
-
Los creadores de Stable Diffusion presentan una IA...
-
Utilizan una vulnerabilidad crítica en dispositivo...
-
Vulnerabilidad de suplantación en el Explorador de...
-
NVIDIA Isaac GR00T N1, la primera IA de código abi...
-
Campaña de Phishing: "Alerta de seguridad" FALSA e...
-
🔈Amazon Echo: o cedes tus datos y privacidad a la...
-
Descifrador del ransomware Akira mediante GPU
-
Google compra Wiz por 32.000 millones de dólares, ...
-
Una nueva técnica envía sonido a una persona espec...
-
GIMP 3: ya puedes descargar la nueva versión del e...
-
“Hackearon mi teléfono y mi cuenta de correo elect...
-
Generar imágenes mediante IA con Stable Diffusion
-
Steve Wozniak alerta del uso de la IA como «herram...
-
La IA de código abierto iguala a los mejores LLM p...
-
Grupo Lazarus de Corea del Norte hizo el mayor rob...
-
El FBI y CISA alertan ante el aumento de los ataqu...
-
Android 16 incluirá Battery Health
-
SteamOS para PC, la alternativa a Windows
-
Venden acceso total a red de gasolineras de México...
-
Ransomware Akira cifró los datos desde una cámara ...
-
ASUS anuncia monitores con purificador de aire inc...
-
Facebook, Instagram y Threads empiezan a probar la...
-
Texas Instruments crea el microcontrolador más peq...
-
Algunas impresoras están imprimiendo texto aleator...
-
Deep Research, la herramienta de Gemini que convie...
-
La nueva versión de Visual Studio Code te permite ...
-
Las descargas de LibreOffice se disparan con el re...
-
China anuncia una nueva tecnología que permite ver...
-
Google anuncia Gemma 3: su nueva IA ligera para di...
-
Gemini puede usar tu historial de Google para dart...
-
MySQL Replication (Master-Slave)
-
Advierten sobre Grandoreiro, troyano brasileño que...
-
Retan a ChatGPT y DeepSeek a jugar al ajedrez y lo...
-
Una actualización de HP deja inservibles a sus imp...
-
-
▼
marzo
(Total:
157
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Entradas populares
-
Conectarse a un dispositivo remoto, ver lo que le ocurre y hasta controlarlo a distancia son tres de las cualidades que poseen aplicacione... -
Aunque emiten radiación internamente, están diseñadas con materiales de protección que evitan emisiones externas, haciendo que sean seguras... -
Las amplias posibilidades de la IA , desde su creación, siempre han suscitado una multitud de preguntas. Unos datos que procesan y registr...
360XSS: inyección masiva de anuncios a través de panoramas virtuales
Una vulnerabilidad de cross-site scripting (XSS) en el framework Krpano, utilizado para embeber imágenes y vídeos 360° en páginas web e implementar tours virtuales y experiencias de realidad virtual (VR), ha sido explotada para realizar una campaña masiva de spam manipulando los resultados de búsqueda.
Según Oleg Zaytsev, investigador que descubrió este ataque, afectó a más de 350 sitios web diferentes, incluyendo portales gubernamentales, sitios de gobiernos estatales de Estados Unidos, universidades estadounidenses, importantes cadenas hoteleras, medios de comunicación, concesionarios de automóviles y varias listas de la lista Fortune 500. Afirma: «Esto no era una simple operación de spam. Era un abuso a escala industrial de dominios de confianza.»
Según Zaytsev, descubrió accidentalmente la vulnerabilidad tras encontrar un anuncio de contenido pornográfico entre los resultados de búsqueda de Google cuya URL apuntaba a un subdominio del sitio web oficial de la Universidad de Yale:
https://virtualtour.quantuminstitute.yale.edu/?id=yuxs&xml=https://staging-prep-cms.scouts.org.uk/lnk/video/?video=video-xx-indain-girl-xxx-xxxxxxx-xvid-60159.html
Este subdominio hace referencia a un tour virtual del Instituto de Cuántica de Yale, pero la URL contenía un parámetro cuyo valor era otra URL de un sitio web legítimo, de la Asociación Scout de Reino Unido. El subdominio de esta segunda URL había sido secuestrado a través de una cuenta abandonada de Azure. Al peticionar a dicha URL, se obtiene un documento XML con una carga útil codificada en Base64. Al decodificar y ejecutarse, el anuncio se carga a un tercer sitio web legítimo.
Como resultado, la URL aparentemente legítima de la Universidad de Yale redirigía al contenido pornográfico. Si se elimina el parámetro xml, la redirección no ocurre y se accede al tour virtual.
Configuración insegura
Uno de los parámetros de configuración de los panoramas de Krpano es passQueryParameters, el cual permitía indicar si se permitía pasar parámetros de URL (query parameters) al visor panorámico. Específicamente en este caso, al permitir pasar el parámetro xml, el atacante puede construir una URL que ejecute un script malicioso en el navegador de la víctima al visitar el sitio vulnerable.
Fuente: https://krpano.com/docu/embedpano/#passQueryParameters
Durante años, passQueryParameters estaba configurado por defecto a true, indicando que cualquier parámetro de la URL se pasará al visor. Sería a partir de la versión 1.20.10 de la librería que el valor por defecto se cambiaría a false, y además se permitiría pasar únicamente los parámetros nombrados en una lista blanca, quedando deprecada la opción de pasar todos los parámetros.
Posteriormente, en la versión 1.22.4, se restringirían los valores de los parámetros que se permitiría pasar al visor:
- No se pasarán las URL que empiecen por
data://ni las URL externas. - Los valores del parámetro
xmlque se pasarán se restringen a aquellos dentro de la estructura de carpetas actual.
Usando técnicas de Google dorking, Zaytsev descubrió que éste no es el único caso de XSS que explota Krpano. Más de 350 sitios web han sido utilizados para realizar envenenamiento SEO (SEO poisoning) y distribuir spam y anuncios potencialmente maliciosos.
Los sitios afectados son muy populares y reciben millones de visitas al mes. Algunos de ellos mostraban distintos tipos de anuncios, no solo sobre pornografía, sino también sobre suplementos dietéticos, casinos en línea, sitios web de fake news, etc., mientras que otros se utilizaron para aumentar las visitas a vídeos de YouTube.
Concretamente, el sitio web del gobierno de Utah llegó a tener más de 100 resultados de spam indexados, y el sitio web de CNN no realizaba ninguna redirección, sino que utilizaba la estructura y estética del sitio web de la CNN para mostrar un artículo promocional sobre casinos, aprovechando la confianza de los usuarios.
Se observa una campaña optimizada: los atacantes controlaban el título, la descripción y la miniatura de los resultados de las búsquedas, falsaban las puntuaciones de las reseñas y usaban cadenas de texto aleatorias en cada título para hacer que cada resultado sea único.
i has detectado problemas de seguridad en un sitio web que utiliza Krpano, es fundamental tomar medidas para mitigar riesgos y evitar que el sitio sea explotado por atacantes. A continuación, se presentan algunas recomendaciones clave para proteger la instalación y garantizar un entorno más seguro.
Recomendaciones:
- Actualizar todas las instancias de Krpano a la última versión.
- Configurar
passQueryParametersafalse(o indicar únicamente parámetros que no den lugar a la ejecución de código). - Utilizar la Google Search Console para identificar y eliminar las páginas infectadas de los resultados de búsqueda.
Más información:
- 360XSS: Mass Website Exploitation via Virtual Tour Framework for SEO Poisoning https://olegzay.com/360xss
- krpano Panorama Viewer https://krpano.com/home
- Hackers Exploited Krpano Framework Flaw to Inject Spam Ads on 350+ Websites https://thehackernews.com/2025/02/hackers-exploited-krpano-framework-flaw.html
Fuentes:
Entradas relacionadas:
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.