威胁行为者正在利用14年前停止更新的CMS编辑器，来攻击全球的教育和政府机构，以在搜索结果中投放恶意网站或诈骗网站。

开放式重定向是指网站允许任意重定向请求，将用户从原始站点带到外部URL，而没有足够的验证或安全检查。

例如，如果有一个URLhttps://www.example.com/?redirect=<url>可以将访问者重定向到指定的URL，并且任何人都可以修改该URL以选择他们想要的站点，这将被视为开放式重定向。

攻击者滥用这些开放式重定向来执行钓鱼攻击、分发恶意软件或欺诈用户，同时似乎源自合法域。由于这些URL托管在受信任的域上，这可能使它们能够绕过安全产品使用的URL过滤器。

此外，搜索引擎爬虫会索引这些重定向，并在Google搜索结果中列出它们，使它们成为SEO污染活动的有效策略，利用受信任的域名来提高恶意URL在特定查询中的排名。

因为开放式重定向URL并不直接托管恶意内容，而只是指向它，所以它们可以保持活跃，并且在搜索结果中可见很长时间，直到它们被报告要求撤下。

然而，许多公司，包括谷歌和微软，在不将开放式重定向视为漏洞并且不会修复它们的情况下，除非它们导致更严重的漏洞。

针对过时的插件

网络安全研究员@g0njxa在看到谷歌搜索结果中列出了托管在大学网站上的“免费V币”（《堡垒之夜》游戏中的游戏货币）生成器后，发现了这次恶意重定向活动。攻击者在此次活动中使用的开放式重定向请求与FCKeditor相关，FCKeditor曾是一款流行的网络文本编辑器，允许用户直接在网页内编辑HTML内容。2009年，FCKeditor被重新品牌并进行了重大改进，推出了CKEditor，它使用了更现代的代码库，提供了增强的可用性和与当代Web标准的兼容性，并且也得到了开发者的积极支持。

在一条Twitter帖子中，g0njxa列出了这次活动主要针对的各种组织，主要是教育机构，如麻省理工学院、哥伦比亚大学、巴塞罗那大学、奥本大学、华盛顿大学、普渡大学、图兰大学、厄瓜多尔中央大学和夏威夷大学。然而，该活动还针对使用过时的FCKeditor插件的政府和公司网站，包括弗吉尼亚州政府网站、德克萨斯州奥斯汀市政府网站、西班牙政府网站和加拿大黄页。

根据BleepingComputer的测试，我们发现受感染的FCKeditor实例利用静态HTML页面和重定向到恶意站点的组合。

静态HTML页面在合法域下打开，并用于向搜索引擎投放恶意结果。

例如，谷歌搜索中的一个链接指向了aum.edu网站上的FCKeditor实例，在那里，一个HTML页面伪装成一篇关于耳鸣疗法的新闻文章。

然而，这篇文章旨在推广AUM网站上安装的受感染的FCKeditor实例的其他内容页面，以便谷歌会将这些页面编入索引。一旦这些页面在搜索引擎中排名，威胁行为者可能会将它们替换为重定向到恶意站点。此次活动中的其他URL将简单地滥用FCKeditor将访问者重定向到欺诈网站、虚假新闻文章、钓鱼页面、黑客辅助网站或恶意浏览器扩展。

软件制造商在X上对开放式重定向活动报告作出了回应，称自2010年以来，FCKeditor已经被弃用，没有人应该再使用它了。不幸的是，看到大学和政府网站使用已经停止更新很长时间的软件并不罕见，就像在这种情况下已经有13多年了。

过去，我们曾看到类似的活动，威胁行为者滥用政府网站上的开放式重定向，将用户重定向到假的OnlyFans和成人网站。