Een gat in advertentieplatform OpenX dat in september werd ontdekt en gedicht wordt nu op grote schaal misbruikt, waarschuwt het Duitse cybercentrum Bundesamt für Sicherheit in der Informationstechnik (BSI). Het lek in platformversies 2.8.10 (en vroeger) zorgt ervoor dat cybercriminelen hun eigen malafide code in banners kunnen injecteren. Nieuwere versies vertonen dit lek niet en er is een patch beschikbaar, maar veel sites blijken nog ongepatcht en niet bijgewerkt te zijn.

Sql-injectie op OpenX

Hierdoor worden drive-by's uitgevoerd op bezoekers, onder meer door het recente Java-lek te misbruiken. Hiervan is inmiddels een patch beschikbaar die er ook meteen voor zorgt dat Java-content niet meer automatisch wordt uitgevoerd. Ook nemen malwareverspreiders de sitebezoekers op de korrel via het lek in Internet Explorer 6, 7 en 8 dat vorige week officieel werd gepatcht.

OpenX 2.8.10 bevat een lek dat cross-site scripting (XSS) en sql-injectie mogelijk maakt. Nadat dit gat in oktober bekend werd, was er ook vrij snel een exploit beschikbaar. Het gat werd al in september ontdekt en gedicht, nog voor de details openbaar werden gemaakt. Via het gat breken hackers nu in op Duitse advertentieplatforms. Het Nederlandse NCSC heeft geen toe- of afname gezien van OpenX-misbruik in ons land.

Meer OpenX-servers geïnfecteerd

Het advertentieplatform OpenX dat websites van banners voorziet, is inmiddels bij versie 3.0 beland. Websites die echter nog 2.8.10 of een oudere versie draaien zijn nog steeds vatbaar voor het lek. De BSI waarschuwt dat er de laatste dagen een hoop geïnfecteerde OpenX-servers zijn geïdentificeerd die drive-by-malware afleveren.

De cyberinstantie heeft de uitbaters van de getroffen OpenX-platforms verwittigd, maar gaat er vanuit dat er meer OpenX-servers zijn besmet met malware.

Het populaire advertentieplatform OpenX voorziet veel populaire sites van banners. Zo dook vorig jaar malware op via een banner in weeronline.nl via dit platform. Ook werd het platform in augustus op grote schaal in Nederland misbruikt om de trojan Hermes te verspreiden.

Update 15.18 uur: Reactie NCSC toegevoegd.