Menü
Alert!

Erneute Lücke in OpenX wird aktiv ausgenutzt

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 27 Beiträge
Update
Von

Der bereits im September geäußerte Verdacht, dass in den Anzeigenservern OpenX und Revive eine offene Sicherheitslücke klafft, hat sich bestätigt: Florian Sander von Checkpanel hat eine SQL-Injection-Lücke entdeckt, die offenbar aktiv ausgenutzt wird, um über Anzeigen Schad-Software zu verbreiten.

Eingeschleuster Code, den CERT-BUND auf kompromittierten Servern entdeckt hat. Der eine tarnt sich als Google-Ad, der andere ist schwer verschwurbelt.

Sander hat dieses Problem bei OpenX und Revive gemeldet und bei letzteren auch einen Patch eingereicht. Von Revive gibt es auch bereits ein Security-Advisory, das den Fehler in allen Versionen bis 3.0.1 bestätigt und als kritisch einstuft. Revive 3.0.2 beseitigt das Problem. Das aktuelle OpenX 2.8.11 ist ebenfalls betroffen; von dort gibt es jedoch bislang keine Reaktion. Sander stellt in seinem Blog einen inoffiziellen Patch bereit, den OpenX-Betreiber nutzen können, die nicht auf Revive umsatteln wollen.

Das Problem wird von Kriminellen professionell ausgenutzt. So beobachtet CERT-Bund regelmäßige Einbrüche in Ad-Servern und benachrichtigt täglich mehrere Betreiber von in Deutschland gehosteten OpenX/Revive-Servern sowie die jeweils zuständigen Hosting-Provider. "In den letzten Wochen war kein Rückgang der Kompromittierungen von Ad-Servern und der damit verbundenen Verbreitung von Schadsoftware über Exploit-Code in Werbebannern zu erkennen" erklärt Thomas Hungenberg vom CERT-Bund die Situation gegenüber heise Security.

Update 20.12.2013, 17:10: Der im September – nicht wie zunächst irrtümlich geschrieben Oktober – geäußerte Verdacht bezog sich auf eine andere Lücke; das aktuelle SQL-Injection-Problem ist davon unabhängig. Außerdem weist Thomas Hungenberg von CERT-Bund noch darauf hin, dass sie auf jeden Fall einen Wechsel zu Revive empfehlen würden, weil OpenX nicht mehr weiterentwickelt wird. (ju)