Via bannerplatform OpenX wordt momenteel het kritieke zero-day gat in Java misbruikt om drive-by's uit te voeren op nietsvermoedende websitebezoekers. Zij worden dan getrakteerd op de malware Hermes, die financiële gegevens verzamelt en doorstuurt. Ook bedrijven zijn behoorlijk kwetsbaar, omdat veel beveiligingsprogramma's met Java werken.

Nieuwe Hermes-uitbraak

Beveiligingsbedrijf Fox-IT meldt de nieuwe Hermes-uitbraak. Directeur Ronald Prins wil nog niet prijsgeven welke websites de malware verspreiden, maar zegt gisteren “enkele duizenden" gevallen te hebben geconstateerd. De malware maakt contact met een command-and-control-server op ip-adres 193.107.16.214. Netwerkbeheerders wordt aangeraden dit adres te blokkeren.

Het OpenX-platform wordt door veel websites gebruikt om pagina's te voorzien van banners. Hackers misbruiken deze servers wel vaker om malware los te laten via kwalijke banners. Met deze Java-drive-by, wordt een gebruiker niet gevraagd om iets te installeren; de trojan wordt automatisch verspreid.

Bedrijfsnetwerken kwetsbaar

Het lek in Java werd begin augustus ontdekt en al vrij snel in het wild gespot. Java-maker Oracle heeft nog geen noodpatch uitgebracht. Voor de verandering is het nu dus zo dat ook mensen met goed bijgewerkte Java-plugins kwetsbaar zijn voor malafide banners.

Beveiligingsspecialist Rafal Los van HP waarschuwt dat juist veel beveiligingsplatforms zijn geschreven in Java. “Iedereen heeft nu toegang tot de kennis om de kritieke fout die bijna overal bestaat in het bedrijfsleven te misbruiken", schrijft Los op het HP-blog. Hackers zijn snel ingesprongen op het net ontdekte gat door Hermes nu op deze manier uit te rollen.

De drive-by in actie: