Un gruppo di hacker ha sfruttato una vulnerabilità di scripting cross-site (XSS) in un framework di tour virtuali per iniettare script malevoli su oltre 350 siti web. L'obiettivo di questa operazione è stato manipolare i risultati di ricerca e alimentare una campagna di annunci spam su larga scala. Secondo il ricercatore di sicurezza Oleg Zaytsev, la campagna, denominata 360XSS, ha colpito portali governativi, siti governativi statunitensi, università americane, catene alberghiere, testate giornalistiche, concessionarie automobilistiche e alcune aziende Fortune 500. Tutti questi siti condividono l'utilizzo di Krpano, un framework popolare per incorporare immagini e video a 360° per esperienze di tour virtuali interattivi.

La vulnerabilità è stata scoperta quando un annuncio relativo a contenuti per adulti è apparso tra i risultati di ricerca di Google, associato a un dominio dell'Università di Yale. Gli URL coinvolti contenevano un parametro XML progettato per reindirizzare l'utente a un secondo URL, utilizzato per eseguire codice malevolo base64. Questo schema sfrutta una configurazione di Krpano che permette di passare parametri HTTP dalla URL al visualizzatore del panorama, creando così una via per eseguire script malevoli nel browser della vittima.

Nonostante la vulnerabilità XSS riflessa fosse stata resa pubblica nel 2020, molte versioni precedenti di Krpano sono ancora vulnerabili. Un aggiornamento alla versione 1.20.10 ha cercato di limitare il problema, ma l'aggiunta esplicita del parametro XML alla lista di permessi ha reintrodotto il rischio di XSS. La campagna ha sfruttato questa debolezza per dirottare i siti web e servire annunci dubbi su pornografia, integratori alimentari, casinò online e siti di notizie false, utilizzando tecniche di SEO poisoning per guadagnare visibilità nei risultati di ricerca.

A seguito della divulgazione responsabile, Krpano ha rilasciato un aggiornamento che elimina il supporto per la configurazione esterna tramite il parametro XML, riducendo così il rischio di attacchi XSS. Gli utenti di Krpano sono invitati ad aggiornare alle versioni più recenti e a disabilitare il settaggio "passQueryParameters". Per i proprietari di siti web compromessi, è consigliato utilizzare la Google Search Console per identificare e rimuovere le pagine infette.