De backdoor is nu ontdekt door OpenX die het bekendmaakt tegelijk met het uitbrengen van een nieuwe, schone release. Dat is versie 2.8.11 die verplicht is voor alle gebruikers. De hiermee vervangen versie 2.8.10 is namelijk door kwaadwillenden aangepast. Twee bestanden van de binaire distributie zijn vervangen door twee bestanden die een kwetsbaarheid in zich hebben waardoor op afstand kwaadaardige PHP-code kan worden uitgevoerd.

Sinds november vorig jaar

OpenX Software stelt dat de nieuwe versie onmiddellijk moet worden geïnstalleerd. "Deze kwetsbaarheid is alleen van toepassing op het gratis downloadbare open source-product, OpenX Source", schrijft security-ingenieur Nick Soracco van het bedrijf. Hij benadrukt dat alle elementen van het hoofdproduct van OpenX op geen enkele manier worden geraakt door de ontdekte backdoor. De pakketten OpenX Enterprise, OpenX Market en OpenX Lift zouden dus veilig zijn.

Dat geldt niet voor het gratis open source-product van het bedrijf. Die software is standaard voorzien van een backdoor, die volgens de Duitse technieuwssite Heise in november vorig jaar is toegevoegd aan de code. Deze stiekeme ingang laat kwaadwillenden niet alleen binnen op die adverentieserver zelf, maar geeft ze daarlangs toegang tot hele sites die OpenX gebruiken.

OpenX wordt gebruikt door sites met veel bezoekers:

Via: W3Techs.

Tip: updaten en geregeld auditen

"We gebruiken deze gelegenheid om de OpenX Source-gemeenschap eraan te herinneren dat het van groot belang is voor het veilige onderhoud en gebruik van welke software dan ook om die alleen de huidige versie te gebruiken, maar ook om stappen te nemen om regelmatig accounts te auditen die toegang hebben toe je systeem", raadt Soracco nog aan. Begin dit jaar is er via kwetsbare oudere versies nog malware verspreid. Dat gat was allang gedicht in een nieuwere versie van OpenX.

Het bestaan van de backdoor is zo ook aan het licht gekomen. Een lezer van Heise heeft tijdens een routinecontrole merkwaardige dingen gevonden in de logbestanden van zijn OpenX-installatie. Na analyse daarvan ontdekte hij de backdoor en dat meldde hij aan Heise. Die technnieuwssite wist het te reproduceren en heeft vervolgens OpenX geïnformeerd, die Heise ook bedankt onderaan het security-bulletin.

Hoe installaties te controleren

Beveiligingsbedrijf Sucuri onderzoekt de zaak en blogt waar de backdoor zit verstopt in de PHP-code van de adserver. Daarbij draagt het een eenvoudig grep-commando aan waarmee beheerders kunnen controleren of hun installaties de backdoor hebben.

De security-advisory van OpenX zelf biedt ook instructies om draaiende installaties te controleren en op te schonen. De leverancier geeft daarbij ook het advies om kopieën van toegangslogs te bewaren voor eventuele controle op oneigenlijke toegang tot servers. De kwaadaardige PHP-code die op afstand valt uit te voeren, is standaard voorzien van de parameter POST waardoor het default niet zichtbaar is in serverlogs.

Het hacken van adservers is een van de populaire en effectieve manieren om malware te verspreiden. Cybercriminelen benutten tegenwoordig wel meer alternatieve middelen voor de verspreiding van hun kwaadaardige software.

Recente malwaregolven

Begin vorige maand zijn er nog grote beveiligingsgaten gevonden in OpenX. Onderzoekers van het High-Tech Bridge Security Research Lab hebben meerdere kwetsbaarheden ontdekt waardoor buitenstaanders eigen PHP-code kunnen uitvoeren, XSS-aanvallen (corss-site scripting) en OpenX-servers kunnen overnemen. Deze gaten zijn eerder dit jaar ontdekt, op 8 mei gemeld aan de makers van OpenX en eind juni gedicht.

Begin juni is er nog een golf aan malware-infecties geweest, onder meer via NU.nl. Het Nederlandse securitybedrijf Fox-IT stelde toen dat dit is gebeurd via een provider met een gecompromitteerde OpenX-installatie. Later in juni zijn nog vele internationale sites besmet, via OpenXadvertising.com. Die site wordt nu nog altijd geblokkeerd door Google, die meldt dat er hierlangs 91 domeinen zijn geïnfecteerd.

Gaten galore

De voorgeschiedenis van OpenX wordt gekenmerkt door meer gaten. Zo zijn Nederlandse sites en bezoekers een jaar geleden getroffen door masale Trojan-infecties meegemaakt, verspreid via het bannerplatform. Twee maanden eerder zijn honderdduizenden bezoekers van Weeronline.nl blootgesteld aan malware.

En in de zomer van 2011 is een groot gat in OpenX ontdekt, dat misbruikt is voor het verspreiden van malware in Nederland. Sites als iPhoneclub.nl en AndroidPlanet.nl zijn toen noodgedwongen offline gegaan. Dat gat bleek al twee jaar oud te zijn en minstens een maand bekend.

Update: Het door Sucuri aangedragen grep-commando verwijderd omdat het cms van Webwereld dit niet correct weergeeft. Zie hiervoor de blogpost van het beveiligingsbedrijf,