Hackers se aprovechan de un editor CMS de 14 años de antigüedad en sitios gubernamentales y universitarios para envenenar el SEO

Agentes maliciosos están explotando un editor de CMS abandonado hace 14 años para comprometer a entidades educativas y gubernamentales de todo el mundo y envenenar los resultados de búsqueda con sitios maliciosos o estafas.

Las redirecciones abiertas se producen cuando los sitios web, ya sea intencionadamente o debido a una vulnerabilidad, permiten peticiones de redirección arbitrarias que llevan a los usuarios desde el sitio de origen a una URL externa sin la validación o las comprobaciones de seguridad adecuadas.

Por ejemplo, si hay una URL en https://www.example.com/?redirect= que redirige a los visitantes a la URL especificada, y cualquiera puede modificar esta URL a un sitio de su elección, esto sería una redirección abierta.

Los atacantes abusan de estas redirecciones abiertas para llevar a cabo ataques de phishing, distribuir malware o estafar a los usuarios aparentando proceder de dominios legítimos. Como las URL se alojan en dominios de confianza, pueden utilizarse para eludir los filtros de URL utilizados por los productos de seguridad.

Además, las arañas de los motores de búsqueda indexan las redirecciones y las enumeran en los resultados de búsqueda de Google, lo que las convierte en una estrategia eficaz para las campañas de envenenamiento SEO, aprovechando un dominio de confianza para clasificar mejor las URL maliciosas para consultas específicas.

Como las URL de redireccionamiento abierto no alojan directamente el contenido malicioso, sino que simplemente apuntan a él, pueden permanecer activas y visibles en los resultados de búsqueda durante mucho tiempo hasta que se marcan para su eliminación.

Sin embargo, muchas empresas, incluidas Google y Microsoft, no consideran que las redirecciones abiertas sean una vulnerabilidad y sólo las corrigen si conducen a una vulnerabilidad más grave.

Atacar plugins obsoletos

El investigador de ciberseguridad @g0njxa descubrió la campaña de redireccionamiento malicioso tras ver resultados de búsqueda en Google de generadores de «Free V Bucks» (moneda del juego Fortnite) alojados en páginas web de universidades.

Las peticiones de redirección abierta utilizadas por los atacantes en esta campaña están vinculadas a FCKeditor, un editor de texto web anteriormente popular que permite a los usuarios editar contenido HTML directamente dentro de una página web.

En 2009, FCKeditor fue rebautizado y revisado significativamente, lo que llevó al lanzamiento de CKEditor, que utiliza una base de código más moderna, ofrece una mayor facilidad de uso y compatibilidad con los estándares web contemporáneos, y también se beneficia del apoyo activo de su desarrollador.

En un hilo de Twitter, g0njxa enumera las diversas organizaciones a las que se dirige la campaña, principalmente instituciones educativas, como el MIT, la Universidad de Columbia, la Universidad de Barcelona, la Universidad de Auburn, la Universidad de Washington, Purdue, Tulane, la Universidad Central de Ecuador y la Universidad de Hawai.

Sin embargo, la campaña también está dirigida a sitios gubernamentales y corporativos que utilizan el obsoleto plugin FCKeditor, incluyendo el sitio del gobierno de Virginia, el sitio del gobierno de Austin (Texas), el sitio del gobierno español y las Páginas Amarillas de Canadá.

Las pruebas de CiberNoveades descubrieron que las instancias comprometidas de FCKeditor utilizan una combinación de páginas HTML estáticas y redirecciones a sitios maliciosos.

Las páginas HTML estáticas se abren bajo el dominio legítimo y se utilizan para envenenar el motor de búsqueda con resultados maliciosos.

Por ejemplo, uno de los enlaces de Google apunta a la instancia FCKeditor del sitio web aum.edu, donde una página HTML pretende ser un artículo de noticias sobre curas para el tinnitus.

Sin embargo, el artículo está diseñado para promocionar otras páginas de contenido en la instancia FCKeditor comprometida instalada en el sitio web de AUM, de modo que Google indexe estas páginas. Una vez que estas páginas aparezcan en los motores de búsqueda, los autores de la amenaza probablemente las sustituirán por redirecciones a sitios maliciosos.

Otras URL de esta campaña simplemente abusan del FCKeditor para redirigir a los visitantes a sitios de estafas, artículos de noticias falsos, páginas de phishing, sitios de ayuda para hackers o extensiones de navegador maliciosas.

El fabricante del software ha respondido al informe de la campaña de redireccionamiento abierto en X, afirmando que FCKeditor está obsoleto desde 2010 y ya no debería utilizarse.

Por desgracia, no es raro ver sitios de universidades y gobiernos que utilizan software que hace tiempo que se abandonó, en este caso hace más de 13 años.

En el pasado, hemos visto campañas similares en las que actores de amenazas han abusado de redireccionamientos abiertos en sitios gubernamentales para redirigir a los usuarios a falsos OnlyFans y sitios para adultos.