Hackers maakten afgelopen dinsdag misbruik van een twee jaar oude bug in het open source pakket OpenX Ad Server. Vanaf een ip-adres in Roemenië werd een php-bestand geüpload naar de servers van Erik Geurts, eigenaar van openxadserver.nl. Dat bedrijf regelt onder andere advertenties voor RTV Noord-Holland en iPhoneclub.nl via de open source versie van het programma OpenX. Door de hackaanval zag de uitgever van iPhoneclub zich genoodzaakt om zijn sites tijdelijk uit de lucht te halen. Ook tientallen andere sites werden getroffen.

Zeer oud gat

De code zorgde ervoor dat er een iframe van 0 bij 0 pixels werd meegestuurd met de banners. Daardoor werden bezoekers van een geïnfecteerde site automatisch verbonden met een Russisch ip-adres waar vandaan geprobeerd werd malware te installeren op de pc van het slachtoffer.

Het blijkt te gaan om een zeer oud gat, tipt Maarten Roelofs van MM1X, reseller van "OpenX enterprise" in Nederland. OpenX entrerprise is de closed source opvolger van OpenX. Bovendien wijst hij erop dat het open source pakket niet meer wordt ondersteund sinds 2009. Hij zegt dit omdat hij graag wil benadrukken dat "de nieuwe OpenX (3.0) omgeving alleen beschikbaar is als SaaS, compleet nieuw en herschreven is en geen byte gemeen heeft met de open source variant die nu onderwerp is".

Server overgenomen

Geurts bevestigt dat bij de hackaanval op zijn servers een oud gat werd misbruikt en ook dat de open source versie van OpenX al een paar jaar niet meer wordt ondersteund. Er bestaat volgens hem ook al jaren een oplossing bugfix voor het gat. "Toen destijds het lek in het OFC2 componentje aan het licht kwam (we hebben het over medio september 2010), heeft het bedrijf OpenX een update uitgebracht van het programma OpenX, waarin het lek werd verholpen", mailt hij aan Webwereld. Hij heeft destijds ook zijn servers gepatcht.

Het lek kon worden misbruikt omdat er in een later stadium de hosting van een bestaand OpenX systeem werd overgenomen. Daarin was de bug nog niet gerepareerd, maar Geurts had dat over het hoofd gezien. "Tijdens de verhuizing is dat meegekomen, met alle gevolgen van dien", stelt Geurts. "Dit is uiteraard een zeer kwalijke zaak. Met de kennis van vandaag zouden we bij het aan boord nemen van nieuwe klanten, waarvoor we de hosting van hun OpenX systeem gaan overnemen, nog secuurder gaan kijken of dat allemaal wel veilig is. Maar dat is achteraf gezien natuurlijk altijd makkelijk praten."

Klanten weglokken

Geurts snapt ook wel waarom het bedrijf OpenX actief aan de bel trekt via zijn reseller. "Ze hebben er alle belang bij om hun gratis concurrent in een zo kwaad mogelijk daglicht te stellen", aldus Geurts uit. OpenX zou volgens hem klanten naar de betaalde versie willen lokken.

Roelofs, die naar eigen zeggen toestemming van OpenX uit de VS heeft om over het product te praten, stelt in een e-mail: "Juist bij zulke mission critical platforms als adservers is een open source oplossing niet per se de juiste keuze meer. Wel zijn de collega's van MM1X met de meeste partijen in gesprek om hun platform op te waarderen naar het nieuwe (3.0) platform." Omdat dat platform wel nog wordt ondersteund is het volgens Roelofs veel veiliger.

Geurts werpt tegen dat het draaien van advertenties "geen vetpot"is en dat niet zomaar iedereen kan upgraden naar een "duurder alternatief". Volgens Geurts is het zeker voor een voor Amerikaanse begrippen kleine site als iPhoneclub niet rendabel om te gebruik te maken van de betaalde variant.

Update 15.55 uur: Jean Paul Horn, de eigenaar van iPhoneclub, iPadclub en AndroidPlanet, laat per mail aan Webwereld weten na dit debacle zijn beleid rond OpenXAdServer en OpenX in het algemeen te heroverwegen. "Wij zijn vooral erg geschrokken van deze hack en met name het feit dat het om een zeer oude exploit blijkt te gaan die al lang en breed gepatcht is", zegt Horn.

Hij is ook niet te spreken over hoe Geurts de zaak heeft afgehandeld. "Dat onze bezoekers juist via de hosted oplossing alsnog geconfronteerd werden met een besmetting is natuurlijk niet te tolereren. Daarnaast was Erik Geurts op het moment van de besmetting niet of nauwelijks te bereiken, waardoor onze enige optie was om zo snel mogelijk alle webservices uit te schakelen om in ieder geval het besmettingsgevaar voor onze bezoekers zoveel mogelijk te verhinderen."

Na het verwijderen van de code die advertenties aanroept werden de sites weer live gezet. "We hebben een half dagdeel zonder enige vorm van bannering moeten draaien - voor ons een flinke kostenpost. Er is tot op heden door OpenXAdserver geen enkele vorm van compensatie aangeboden. " Het gaat om enkele honderden euro's. Horn benadrukt dat Geurts zeker niet het woord voert namens de getroffen sites.

In onderstaande video van beveiligingsbedrijf Armorize, gepost op 2 juli 2011, wordt uitgelegd hoe de exploit werkt. Het bedrijf schreef daar ook een uitgebreide blogpost over.