Hackers raken OpenX-advertentieserver in Adobe Attack

Hackers hebben fouten misbruikt in populaire open-source advertentiesoftware om gedurende de afgelopen week schadelijke code op advertenties op verschillende populaire websites te plaatsen.

De aanvallers maken misbruik van een paar bugs in de OpenX-advertentiesoftware om in te loggen bij advertenties servers en plaats dan schadelijke code op advertenties die op de sites worden weergegeven. Op maandag zei cartoon syndicator King Features dat het vorige week is gehackt vanwege de OpenX-bugs. Het Comics Kingdom-product van het bedrijf, dat strips en advertenties levert aan ongeveer 50 websites, werd beïnvloed.

Nadat er op donderdagochtend een melding was ontvangen, bepaalde King Features dat "via een beveiligings-exploit in de advertentieserver-applicatie hackers hadden geïnjecteerd een schadelijke code in onze advertentiedatabase ", zei het bedrijf in een notitie op haar website. King Features zei dat de kwaadaardige code een nieuwe, niet-gepatchte Adobe-aanval gebruikte om kwaadwillende software op de computers van de slachtoffers te installeren, maar dat kon niet meteen worden geverifieerd.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Een andere OpenX-gebruiker, de Is not It Cool News-website, is naar verluidt vorige week getroffen door een soortgelijke aanval.

Op het internet gebaseerde aanvallen zijn een favoriete manier voor cybercriminelen om hun schadelijke software te installeren en deze laatste ronde van hacks laat zien hoe ad-servernetwerken kunnen bruikbare conduits voor aanvallen worden. In september plaatsten oplichters kwaadwillende software op de website van The New York Times door zich voor te doen als legitieme kopers van advertenties.

Dezezelfde techniek die werkte aan King Features en Is not It Cool News werd gebruikt om op zijn minst twee andere websites te hacken. sites vorige week, volgens een OpenX-beheerder die op voorwaarde van anonimiteit sprak, omdat hij niet bevoegd was om met de pers te praten. Aanvallers gebruikten één aanval om aanmeldingsrechten voor zijn server te krijgen en uploadden vervolgens een kwaadwillig gecodeerd beeld dat bevatte een PHP-script dat erin verborgen was, zei hij. Door de afbeelding te bekijken, dwongen aanvallers het script uit te voeren op de server. Vervolgens heeft het een HTML-codefragment aan elke advertentie op de server gekoppeld. Dit onzichtbare HTML-object, ook bekend als een iFrame, heeft bezoekers omgeleid naar een website in China die de Adobe-aanvalscode heeft gedownload.

OpenX zei dat het op de hoogte was van "geen grote kwetsbaarheden in verband met de huidige versie van de software - 2.8. 2 - in de gedownloade of gehoste formulieren, "in een verklaring per e-mail.

Ten minste één OpenX-gebruiker is van mening dat de huidige versie van het product mogelijk kwetsbaar is voor een deel van deze aanval. In een forumpost zei een gebruiker dat hij was gehackt terwijl hij een oudere versie van de software draaide, maar dat de huidige (2.8.2) versie ook kwetsbaar is. "Als u een huidige, ongewijzigde versie van OpenX gebruikt, is het mogelijk om anoniem in te loggen op de beheersite en beheer op systeemniveau van het systeem te krijgen", schreef hij.

Meer informatie over de OpenX-hack is te vinden hier.

Toen onderzoekers van Praetorian Security Group naar de Adobe-aanval keken, maakte dit geen gebruik van de ongepatchte Adobe-bug, zei Daniel Kennedy, een partner bij het beveiligingsadviesbureau. In plaats daarvan verzamelde de aanval een assortiment van drie verschillende Adobe-exploits, zei hij. "We zien geen bewijs dat dit de dag is die in januari door Adobe zal worden gepatcht."

Beveiligingsdeskundigen zeggen dat de tekortkoming van Adobe niet op grote schaal is gebruikt bij online aanvallen, hoewel deze openbaar is gemaakt. Op maandag zei Symantec dat het minder dan 100 meldingen van de aanval had ontvangen. Dat komt misschien omdat veel mensen nog steeds oudere versies van Reader gebruiken die kwetsbaar zijn voor andere aanvallen. Adobe is een favoriet doelwit van lezers geweest sinds een soortgelijke bug in februari jongstleden opdook. Adobe heeft het probleem in maart gepatcht, maar gebruikers kunnen deze aanval en het huidige Adobe-probleem voorkomen door JavaScript eenvoudig uit te schakelen in hun Reader-software.

"Iedereen had net het gedrag van zijn Adobe-lezer moeten veranderen", zegt Gary Warner, directeur van onderzoek in computer forensics aan de Universiteit van Alabama in Birmingham. "Niemand's lezer zou JavaScript moeten uitvoeren."