Οι χάκερ χτυπήσουν το OpenX Ad Server στο Adobe Attack

Οι χάκερ εκμεταλλεύτηκαν ελαττώματα σε ένα δημοφιλές διαφημιστικό λογισμικό ανοικτού κώδικα για να τοποθετήσουν κακόβουλο κώδικα σε διαφημίσεις σε αρκετές δημοφιλείς τοποθεσίες Web κατά την περασμένη εβδομάδα.

Οι επιτιθέμενοι επωφελούνται από ένα ζευγάρι σφάλματα στο λογισμικό διαφήμισης OpenX για να συνδεθούν με τη διαφήμιση διακομιστές και, στη συνέχεια, τοποθετήστε κακόβουλο κώδικα σε διαφημίσεις που προβάλλονται στους ιστότοπους. Τη Δευτέρα, ο συνδικαλιστής βασιλιάδων χαρακτήρων κινουμένων σχεδίων δήλωσε ότι είχε χάσει την περασμένη εβδομάδα λόγω των σφαλμάτων του OpenX. Το προϊόν της Comics Kingdom της εταιρείας, το οποίο παραδίδει κόμικς και διαφημίσεις σε περίπου 50 ιστότοπους, επηρεάστηκε.

Αφού ειδοποιήθηκαν για το πρόβλημα την Πέμπτη το πρωί, οι βασικές λειτουργίες καθόρισαν ότι "μέσω μιας εκμετάλλευσης ασφαλείας στην εφαρμογή διακομιστή διαφημίσεων, έναν κακόβουλο κώδικα στη βάση δεδομένων των διαφημίσεών μας ", ανέφερε η εταιρεία σε ένα σημείωμα που δημοσιεύτηκε στην ιστοσελίδα της. Ο βασιλιάς χαρακτήρισε ότι ο κακόβουλος κώδικας χρησιμοποίησε μια νέα επίθεση της Adobe για την εγκατάσταση κακόβουλου λογισμικού στους υπολογιστές των θυμάτων, αλλά αυτό δεν μπορούσε να επαληθευτεί αμέσως.

[Περισσότερες πληροφορίες: Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας Windows]

Ένας άλλος χρήστης του OpenX, ο ιστότοπος Is Not Cool News, έτυχε να υποστεί παρόμοια επίθεση την περασμένη εβδομάδα.

Οι επιθέσεις στο Web είναι ένας αγαπημένος τρόπος για τους κακοποιούς να εγκαταστήσουν το κακόβουλο λογισμικό και αυτός ο τελευταίος γύρος hacks δείχνει πώς τα δίκτυα διακομιστών διαφημίσεων μπορούν να αποτελέσουν χρήσιμα αγωγούς για επίθεση. Τον Σεπτέμβριο, οι απατεώνες έβαλαν κακόβουλο λογισμικό στην τοποθεσία Web της New York Times τοποθετώντας τους ως νόμιμους αγοραστές διαφημίσεων.

Αυτή η ίδια τεχνική που δούλευε στα Βασικά Χαρακτηριστικά και το Is not It Cool News χρησιμοποιήθηκε για να σπάσει σε τουλάχιστον δύο άλλους ιστούς σύμφωνα με έναν διαχειριστή του OpenX, ο οποίος μίλησε υπό τον όρο της ανωνυμίας, επειδή δεν είχε εξουσιοδότηση να μιλήσει με τον Τύπο.

Οι επιτιθέμενοι χρησιμοποίησαν μία επίθεση για να αποκτήσουν δικαιώματα σύνδεσης στο διακομιστή του και στη συνέχεια ανέβασαν μια κακώς κωδικοποιημένη εικόνα που περιείχε ένα script PHP κρυμμένο μέσα του, είπε. Με την προβολή της εικόνας, οι επιτιθέμενοι ανάγκασε το σενάριο να εκτελεστεί στο διακομιστή. Έπειτα επισυνάφθηκε ένα απόσπασμα κώδικα HTML σε κάθε διαφήμιση του διακομιστή. Γνωστό ως iFrame, αυτό το αόρατο αντικείμενο HTML στη συνέχεια ανακατευθύνει τους επισκέπτες σε έναν ιστότοπο στην Κίνα που κατέβασε τον κώδικα επίθεσης Adobe.

Το OpenX δήλωσε ότι γνώριζε ότι "δεν υπάρχουν σημαντικά τρωτά σημεία που σχετίζονται με την τρέχουσα έκδοση του λογισμικού - 2.8. 2 - είτε στις κατεβασμένες είτε στις φιλοξενούμενες φόρμες του, "σε μια δήλωση με e-mail.

Τουλάχιστον ένας χρήστης του OpenX πιστεύει ότι η τρέχουσα έκδοση του προϊόντος μπορεί να είναι ευάλωτη σε μέρος αυτής της επίθεσης. Σε μια ανάρτηση σε φόρουμ, ένας χρήστης είπε ότι έχει πειραχτεί ενώ τρέχει μια παλαιότερη έκδοση του λογισμικού, αλλά ότι η τρέχουσα (2.8.2) έκδοση είναι επίσης ευάλωτη. "Εάν εκτελείτε μια τρέχουσα, μη τροποποιημένη έκδοση του OpenX, είναι δυνατό να συνδεθείτε ανώνυμα στο admin site και να αποκτήσετε έλεγχο σε επίπεδο διαχειριστή του συστήματος", έγραψε.

Περισσότερες λεπτομέρειες σχετικά με το hack του OpenX μπορούν να βρεθούν

Όταν οι ερευνητές της Praetorian Security Group εξέτασαν την επίθεση της Adobe, δεν χρησιμοποίησαν το ανεπιθύμητο bug της Adobe, δήλωσε ο Daniel Kennedy, συνεργάτης της συμβουλευτικής ασφάλειας. Αντίθετα, η επίθεση τράβηξε μια ποικιλία τριών διαφορετικών εκμεταλλεύσεων της Adobe, είπε. "Δεν βλέπουμε στοιχεία που να αποδεικνύουν ότι είναι η 0η ημέρα που θα διορθωθεί από την Adobe τον Ιανουάριο."

Οι ειδικοί της ασφάλειας λένε ότι το ελάττωμα της Adobe δεν έχει χρησιμοποιηθεί ευρέως σε online επιθέσεις, παρόλο που δημοσιοποιήθηκε. Τη Δευτέρα, η Symantec είπε ότι είχε λάβει λιγότερες από 100 αναφορές για την επίθεση.

Αυτό μπορεί να συμβαίνει επειδή πολλοί άνθρωποι εξακολουθούν να εκτελούν παλαιότερες εκδόσεις του Reader που είναι ευάλωτες σε άλλες επιθέσεις. Η Adobe ήταν ένας αγαπημένος στόχος των αναγνωστών, καθώς ένα παρόμοιο σφάλμα εμφανίστηκε τον περασμένο Φεβρουάριο. Η Adobe έκαμψε το πρόβλημα τον Μάρτιο, αλλά οι χρήστες μπορούν να αποφύγουν αυτή την επίθεση και το τρέχον πρόβλημα Adobe απλά απενεργοποιώντας το JavaScript στο λογισμικό του Reader

"Όλοι έπρεπε να έχουν αλλάξει τη συμπεριφορά στον αναγνώστη Adobe", δήλωσε ο Gary Warner, διευθυντής της έρευνας στην εγκληματολογία υπολογιστών στο Πανεπιστήμιο της Αλαμπάμα στο Μπέρμιγχαμ "Ο αναγνώστης δεν πρέπει να εκτελεί JavaScript."