Les auteurs de menaces exploitent un éditeur de CMS abandonné il y a 14 ans pour compromettre des entités éducatives et gouvernementales du monde entier afin d’empoisonner les résultats de recherche avec des sites malveillants ou des escroqueries.

Les redirections ouvertes se produisent lorsque des sites Web, intentionnellement ou par le biais d’une faille, autorisent des demandes de redirection arbitraires qui amènent les utilisateurs du site d’origine vers une URL externe sans validation ni contrôles de sécurité adéquats.

Par exemple, s’il y avait une URL à https://www.example.com/?redirect = < url > qui redirige les visiteurs vers l’URL spécifiée, et n’importe qui pourrait modifier cette URL vers un site de son choix, cela serait considéré comme une redirection ouverte.

Les attaquants abusent de ces redirections ouvertes pour effectuer des attaques de phishing, distribuer des logiciels malveillants ou arnaquer les utilisateurs tout en semblant provenir de domaines légitimes. Comme les URL sont hébergées sur des domaines de confiance, cela peut leur permettre de contourner les filtres d’URL utilisés par les produits de sécurité.

De plus, les robots des moteurs de recherche indexent les redirections et les répertorient dans les résultats de recherche Google, ce qui en fait une stratégie efficace pour les campagnes d’empoisonnement SEO, en exploitant un domaine de confiance pour classer les URL malveillantes plus haut pour des requêtes spécifiques.

Étant donné que les URL de redirection ouvertes n’hébergent pas directement le contenu malveillant, mais pointent simplement vers celui-ci, elles peuvent rester actives et visibles dans les résultats de recherche pendant longtemps jusqu’à ce qu’elles soient signalées pour retrait.

Cependant, de nombreuses entreprises, y compris Google et Microsoft, ne considèrent pas les redirections ouvertes comme une faille et peuvent ne pas les corriger à moins qu’elles ne conduisent à une vulnérabilité plus grave.

Ciblage du plugin obsolète
Le chercheur en cybersécurité @g0njxa a découvert la campagne de redirection malveillante après avoir vu les résultats de recherche Google pour les générateurs de « V Bucks gratuits » (monnaie du jeu Fortnite) hébergés sur des sites universitaires.

Résultats de recherche Google malveillants

Les demandes de redirection ouvertes utilisées par les attaquants dans cette campagne sont liées à FCKeditor, un éditeur de texte Web autrefois populaire qui permet aux utilisateurs de modifier le contenu HTML directement dans une page Web.

Requête exploitant la faille de redirection ouverte

En 2009, FCKeditor a été rebaptisé et considérablement remanié, ce qui a entraîné le lancement de CKEditor, qui utilise une base de code plus moderne, offre une convivialité et une compatibilité améliorées avec les standards Web contemporains, et est également activement soutenu par son développeur.

Dans un fil Twitter, g0njxa répertorie les différentes organisations ciblées par cette campagne, ciblant principalement les établissements d’enseignement, tels que le MIT, l’Université Columbia, l’Université de Barcelone, l’Université Auburn, l’Université de Washington, Purdue, Tulane, l’Universidad Central del Ecuador et l’Université d’Hawaï.

Cependant, la campagne cible également les sites gouvernementaux et d’entreprise utilisant le plugin obsolète FCKeditor, notamment le site gouvernemental de Virginie, Austin, le site gouvernemental du Texas, le site gouvernemental de l’Espagne et Pages Jaunes Canada.

À partir des tests de Breachtrace, nous avons découvert que les instances FCKeditor compromises utilisent une combinaison de pages HTML statiques et de redirections vers des sites malveillants.

Les pages HTML statiques s’ouvrent sous le domaine légitime et sont utilisées pour empoisonner le moteur de recherche avec des résultats malveillants.

Par exemple, l’un des liens dans Google va à l’instance FCKeditor sur le aum.edu site, où une page HTML prétend être un article de presse sur les remèdes contre les acouphènes.

Cependant, l’article est conçu pour promouvoir d’autres pages de contenu sur l’instance FCKeditor compromise installée sur le site Web d’AUM afin que Google indexe les pages. Une fois ces pages classées dans les moteurs de recherche, les auteurs de menaces les échangeront probablement contre des redirections vers des sites malveillants.

Page HTML statique utilisée pour l’empoisonnement SEO

D’autres URL de cette campagne abuseront simplement de FCKeditor pour rediriger les visiteurs vers des sites frauduleux, de faux articles de presse, des pages de phishing, des sites d’assistance au piratage ou des extensions de navigateur malveillantes.

Le fabricant de logiciels a répondu au rapport de la campagne de redirections ouvertes sur X, affirmant que FCKeditor était obsolète depuis 2010 et que personne ne devrait plus l’utiliser.

Malheureusement, il n’est pas rare de voir des sites universitaires et gouvernementaux utiliser des logiciels qui ont été abandonnés depuis longtemps, dans ce cas, plus de 13 ans.

Dans le passé, nous avons vu des campagnes similaires dans lesquelles des acteurs malveillants abusaient des redirections ouvertes sur des sites gouvernementaux pour rediriger les utilisateurs vers de faux fans et des sites pour adultes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *