Software::Web
OpenX mit einer Hintertür
Medienberichten zufolge enthält die aktuelle Version des Anzeigen-Servers OpenX eine Hintertür, über die ein Angreifer beliebigen PHP-Code in den Server einschleusen und ausführen kann. Entsprechenden Berichten nach wird die Lücke bereits aktiv ausgenutzt.
Laut einer Meldung des Nachrichtentickers »Heise Security« enthält die aktuelle Version des Anzeigen-Servers OpenX eine Hintertür. Der unbekannte Code findet sich laut Aussagen des Dienstes direkt im Download-Paket der aktuellen Version und kann dazu genutzt werden, beliebigen PHP-Code in den Server einzuschleusen und auszuführen.
Betroffen von dem Problem waren alle zum Download angebotenen Versionen. Dabei spielt es keine Rolle, ob sie als tgz, zip oder bz2 ausgeliefert werden. Lediglich Anwender, die OpenX direkt aus dem SVN-Repositorium heruntergeladen haben, sind sicher. Offenbar handelt es sich um eine direkte Manipulation der Downloads und nicht um eine Änderung der Quellen.
Administratoren, die einen eigenen Anzeigenserver unter OpenX verwalten, können den Schädling mittels des folgenden Kommandos aufspüren:
find . -name \*.js -exec grep -l '<?php' {} \;
Erfolgt nach dem Kommando eine Ausgabe, ist das System laut »Heise Security« von dem Problem betroffen und muss bereinigt werden. Als Gegenmaßnahme empfiehlt der Ticker zudem, den Server außer Betrieb zu nehmen und eine detaillierte Analyse der Log-Dateien vorzunehmen, um mögliche Angriffe aufzuspüren. OpenX selbst hat das Problem bestätigt und die kompromittierten Downloads entfernt. Zudem arbeitet das Team an einem Bericht, der den Vorfall näher erläutern will.
OpenX (früher phpAdsNew, dann kurzzeitig OpenAds) stellt einen Server für Banner- und Textanzeigen auf Webseiten dar. Einige seiner Features sind: Verwaltung mehrerer Herausgeber und Zonen, Hierarchie von Inserenten, Kampagnen und Bannern, Auswahl der Banner nach verschiedenen Kriterien einschließlich Schlüsselwörtern, Installation und Verwaltung übers Web, umfangreiche Statistiken und Kundenlogin. Optional ist Geotargeting möglich. In der Vergangenheit geriet das System allerdings bereits mehrfach unter Beschuss. So war unter anderem Angreifern möglich gewesen, durch die Ausnutzung von Sicherheitslücken den Server für die Verteilung von Malware zu missbrauchen.
Update: (07.08.2013 19:26) Der Hersteller hat eine neue Version des Systems veröffentlicht. OpenX 2.8.11 eliminiert die Hintertür und korrigiert weitere Probleme. Das Paket kann ab sofort von der Seite des Herstellers heruntergeladen werden.
