Beheer

Security

Advertentieserver OpenX bevat gevaarlijk lek

7 augustus 2013
De veelgebruikte advertentieserversoftware OpenX bevat een lek waardoor hackers via een backdoor toegang kunnen krijgen tot webservers, inclusief de informatie die is opgeslagen in databases.

Met OpenX kan de advertentieruimte op een of meerdere sites beheerd en zo efficiënt mogelijk gebruikt worden.  Heiko Weber, lezer van de Duitse nieuwssite Heise Online, ontdekte het lek in versie 2.10 bij een routinecontrole.  Het blijkt al zeker sinds november 2012  te bestaan. Beveiligers hebben bevestigd dat hier sprake is van verborgen code. Hackers kunnen er PHP-code naar keuze mee uitvoeren op sites die op een kwetsbare versie van OpenX draait.

Gerichte aanvallen

De code, een kwaadaardig PHP-script,  zit goed verborgen, wat verklaart waardoor het zo lang heeft geduurd voordat ze is ontdekt. Beveiliger Sucuri gaat er vanuit dat het lek niet gebruikt is voor massale malwaredistributie maar voor zeer gerichte aanvallen. Wat er precies mis kan gaan door het lek is nog niet geheel duidelijk. Wel is al duidelijk dat hackers die toegang tot databases in de webservers krijgen daar wachtwoorden kunnen stelen, wijzigen of toevoegen waarmee ze volledige toegang krijgen tot de servers.

Coca Cola

OpenX is een open source product dat wordt ontwikkeld door het gelijknamige bedrijf. Het is in gebruik bij onder meer Coca-Cola, Bloomberg, Samsung en CBS Interactive. Producent OpenX heeft naar eigen zeggen de bestanden waar het om gaat verwijderd van de server en werkt aan een officiële patch.

Aanvulling:

OpenX benadrukt dat alleen OpenX Source v. 2.8.10 behept is met de zwakke plek. OpenX Enterprise, OpenX Market en OpenX Lift zijn veilig; gebruikers daarvan hoeven dus geen actie te ondernemen. Wie werkt met OpenX Source moet zo spoedig mogelijk een update installeren.

Aangeraden wordt in ieder geval de servers die op de lekke versies van OpenX draaien onmiddellijk uit de lucht te halen en de logbestanden te controleren.



Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.