Hackers hit OpenX-annonceserver i Adobe Attack

Hackere har udnyttet fejl i en populær open source-annonceringssoftware til at placere ondsindet kode på reklamer på flere populære websteder i løbet af den sidste uge.

Angreberne udnytter et par fejl i OpenX-annonceringssoftwaren til at logge ind på reklamer servere og derefter placere ondsindet kode, når annoncer bliver serveret på webstederne. På mandag sagde tegneserie syndikator King Features, at den var blevet hacket i sidste uge på grund af OpenX-fejlene. Firmaets Comics Kingdom-produkt, der leverer tegneserier og annoncer til omkring 50 websteder, blev berørt.

Efter at have fået besked om problemet torsdag morgen fastslog King Features, at "gennem en sikkerhedsudnyttelse i annonceserverprogrammet havde hackere injiceret en ondsindet kode i vores annonce database ", sagde firmaet i en note, der blev offentliggjort på sit websted. King-funktionerne sagde, at den ondsindede kode brugte et nyt, ikke-opdateret Adobe-angreb for at installere skadelig software på ofrenes computere, men det kunne ikke umiddelbart bekræftes.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

En anden OpenX-bruger, webstedet Is not It Cool News, blev tilsyneladende ramt af et lignende angreb i sidste uge.

Webbaserede angreb er en favorit måde for cyberkriminelle at installere deres ondsindede software, og denne seneste runde hack viser hvordan Ad server-netværk kan blive nyttige ledninger til angreb. I september sendte scammers ondsindet software på The New York Times 'websted ved at udgive som legitime annoncekøbere.

Denne samme teknik, der fungerede på King Features og er ikke cool nyheder, blev brugt til at hakke i mindst to andre websider websteder i sidste uge, ifølge en OpenX-administrator, der talte på betingelse af anonymitet, fordi han ikke var autoriseret til at tale med pressen.

Attackere brugte et angreb for at få login-rettigheder til sin server og derefter uploadet et ondsindet kodet billede der indeholdt et PHP script skjult inde i det, sagde han. Ved at se billedet, tvang angribere tv'et til at udføre på serveren. Det vedhæftede derefter et uddrag af HTML-kode til hver annonce på serveren. Kendt som en iFrame, omdirigerede dette usynlige HTML-objekt derefter besøgende til et websted i Kina, der downloadede Adobe-angrebskoden.

OpenX sagde, at det var klar over "ingen større sårbarheder forbundet med den nuværende version af softwaren - 2.8. 2 - i enten dens downloadede eller hostede formularer "i en e-mail-erklæring.

Mindst en OpenX-bruger mener, at den aktuelle version af produktet måske er sårbar over for en del af dette angreb. I et forumindlæg sagde en bruger, at han blev hacket, mens han kørte en ældre version af softwaren, men at den nuværende version (2.8.2) også er sårbar. "Hvis du kører en aktuel, umodificeret frigivelse af OpenX, er det muligt at anonymt logge ind på administratorsiden og få administratorstyringsstyring af systemet," skrev han.

Flere detaljer om OpenX hack kan findes her.

Da forskere fra Praetorian Security Group så på Adobe-angrebet, udnyttede det ikke den upatchede Adobe-fejl, sagde Daniel Kennedy, en partner med sikkerhedskonsulenten. I stedet angreb angrebet et udvalg af tre forskellige Adobe-udbytter, sagde han. "Vi ser ingen beviser for, at det er den 0-dag, der vil blive patched af Adobe i januar."

Sikkerhedseksperter siger, at Adobe-fejlen ikke er blevet udbredt i online-angreb, selvom den er blevet offentliggjort. På mandag sagde Symantec, at den havde modtaget mindre end 100 rapporter om angrebet.

Det kan skyldes, at mange stadig kører ældre versioner af Reader, der er sårbare overfor andre angreb. Adobe har været et yndlingsmål for læsere, da der opstod en lignende fejl i februar sidste år. Adobe patched problemet i marts, men brugere kan undgå dette angreb og det aktuelle Adobe-problem ved blot at deaktivere JavaScript i deres Reader-software.

"Alle burde bare have ændret adfærd på deres Adobe-læser," sagde Gary Warner, direktør for forskning i computerforensics ved University of Alabama i Birmingham. "Ingen læsere skal udføre JavaScript."