Hackers exploram editor de CMS de 14 anos em sites do governo e educação para envenenamento de SEO
27 de Fevereiro de 2024

Atantes da ameaça estão explorando um editor de CMS descontinuado há 14 anos para comprometer entidades de educação e governamentais em todo o mundo para envenenar os resultados de busca com sites maliciosos ou golpes.

Redirecionamentos abertos são quando sites, seja intencionalmente ou através de uma falha, permitem solicitações arbitrárias de redirecionamento que levam os usuários do site original a uma URL externa sem validação adequada ou checagens de segurança.

Por exemplo, se houvesse uma URL em https://www.example[.]com/?redirect=<url> que redireciona visitantes para a URL especificada, e qualquer pessoa pudesse modificar essa URL para um site de sua escolha, seria considerado um redirecionamento aberto.

Os agressores abusam desses redirecionamentos abertos para realizar ataques de phishing, distribuir malware ou enganar usuários enquanto aparentam originar de domínios legítimos.

Como as URLs são hospedadas em domínios confiáveis, isso pode permitir que eles contornem os filtros de URL usados por produtos de segurança.

Além disso, os rastreadores de mecanismos de busca indexam os redirecionamentos e os listam nos resultados de pesquisa do Google, tornando-os uma estratégia eficaz para campanhas de envenenamento de SEO, explorando um domínio confiável para classificar URLs maliciosos mais altos para consultas específicas.

Como as URLs de redirecionamento aberto não hospedam o conteúdo malicioso diretamente, mas apenas o apontam, elas podem permanecer ativas e visíveis nos resultados de pesquisa por muito tempo até serem denunciadas para remoção.

No entanto, muitas empresas, incluindo Google e Microsoft, não consideram os redirecionamentos abertos uma falha e podem não corrigi-los a menos que levem a uma vulnerabilidade mais severa.

O pesquisador de segurança cibernética @g0njxa descobriu a campanha de redirecionamento malicioso após ver resultados de pesquisa do Google para geradores de 'Free V Bucks' (moeda do jogo Fortnite) hospedados em sites universitários.

Os pedidos de redirecionamento aberto usados pelos atacantes nesta campanha estão relacionados ao FCKeditor, um editor de texto web que era popular uma vez, que permite aos usuários editar conteúdo HTML diretamente em uma página web.

Em 2009, o FCKeditor foi reformulado e significativamente aprimorado, resultando no lançamento do CKEditor, que utiliza uma base de código mais moderna, oferece usabilidade aprimorada e compatibilidade com os padrões web contemporâneos, e também é ativamente suportado por seu desenvolvedor.

Em um thread do Twitter, g0njxa lista as várias organizações visadas por esta campanha, visando principalmente instituições educacionais, como MIT, Universidade de Columbia, Universitat de Barcelona, Auburn University, University of Washington, Purdue, Tulane, Universidad Central del Ecuador, e a Universidade do Havaí.

No entanto, a campanha também visa sites governamentais e corporativos que usam o plugin FCKeditor desatualizado, incluindo o site governamental da Virgínia, o site governamental de Austin, Texas, o site governamental da Espanha, e o Yellow Pages Canada.

A partir dos testes do BleepingComputer, descobrimos que as instâncias comprometidas do FCKeditor utilizam uma combinação de páginas HTML estáticas e redirecionamentos para sites maliciosos.

As páginas HTML estáticas são abertas sob o domínio legítimo e são usadas para envenenar o mecanismo de busca com resultados maliciosos.

Por exemplo, um dos links no Google vai para a instância do FCKeditor no site aum.edu, onde uma página HTML finge ser um artigo de notícias sobre remédios para tinnitus.

No entanto, o artigo é projetado para promover outras páginas de conteúdo na instância comprometida do FCKeditor instalada no site da AUM para que o Google indexe as páginas.

Uma vez que essas páginas são classificadas nos mecanismos de busca, é provável que os atores de ameaças as substituam por redirecionamentos para sites maliciosos.

Outras URLs nesta campanha simplesmente abusam do FCKeditor para redirecionar visitantes para sites de golpes, artigos falsos, páginas de phishing, sites de assistência de hacking, ou extensões maliciosas de navegador.

O fabricante do software respondeu ao relatório da campanha de redirecionamentos abertos no X, dizendo que o FCKeditor foi descontinuado desde 2010 e ninguém deveria estar usando-o mais.

Infelizmente, não é incomum ver sites universitários e governamentais usando software que foi descontinuado há muito tempo, neste caso, há mais de 13 anos.

No passado, vimos campanhas semelhantes onde atores de ameaças abusaram de redirecionamentos abertos em sites governamentais para redirecionar usuários para sites falsos OnlyFans e para adultos.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...