Das BSI (Bundesamt fuer Sicherheit in der Informationstechnik) warnt derzeit vor Angriffen auf Adserver die mit OpenX arbeiten und durch die Angreifer so modifiziert werden, dass sie Schadecode ausliefern. Dabei wird den Bannern ein IFRAME (mit Größe 1×1 Pixel) angehängt, das infizierte Seiten nachlädt und versucht Zugriff auf den Nutzerechner zu bekommen.
Das BSI schreibt dazu in einer aktuelle CERT-Mail:
Es wird aktuell in Fachkreisen vermutet, dass die aktuellen
Kompromittierungen mit einer an den Hersteller gemeldeten
SQL-Injection-Luecke in Zusammenhang stehen [4]. Diese Luecke betrifft
nach Angaben des Entdeckers alle Versionen von OpenX bis einschliesslich
Version 2.8.4.
Dazu wird die Empfehlung ausgesprochen, OpenX auf die neuste Version 2.8.5 upzugraden. Allerdings kann ich aus eigener Erfahrung sagen, dass dies leider nicht hilft. Auch die Version 2.8.5 wurde bereits auf die gleiche Weise infiziert, es scheint also als würde die oben genannte Sicherheitslücke auch in der neusten OpenX Version vorliegen.
Für alle die ein OpenX System einsetzen hilft eventuell folgender Workaround (der allerdings sehr quick and dirty ist):
Die Angreifer nutzen für ihren Code zwei Felder in der Bannerverwaltung. Über die Felder Anhang (append) und (prepend) werden die IFrames ausgeliefert, man findet diese Felder in OpenX selbst in den erweiterten Bannermerkmalen. In der Datenbank sind diese Felder in der Tabelle Banners und append und prepend zu finden. Um das System zumindest gegen diese Art der Angriffe zu immunisieren reicht es diese Felder vom Textformat auf ein Zahlenformat umzustellen und die Größe sicherheitshalber noch auf 1 zu reduzieren. Damit können keinen funktionsfähigen Schadcodes mehr in diese Felder geschrieben werden und man hat Ruhe – zumindest so lange die Angreifer keine neue Felder finden die sie kompromittieren können. Denn die Sicherheitslücke scheint nach wie vor aktiv ausgenutzt zu werden – höchste Zeit das von OpenX eine sichere Version kommt.
Auch uns hat es „erwischt“. Leider.
Weißt Du, ob der Angreifer außer der SQL Injection noch weiteren Schaden anrichten kann? Passwörter ausspähen oder Zugang zum Hostsystem erlangen?
Nein, ich weiß nicht mal welche Lücke hier genau genutzt wurde daher ist auch schwer zu sagen wie groß der eventuelle Schaden ist 🙁 Im Zweifel bliebe wohl nur das Adserversystem zu wechseln.