Jeśli korzystacie z OpenX do serwowania reklam, lepiej sprawdźcie, czy Wasza wersja nie ma dodatkowych funkcjonalności. Serwis xClose.de ostrzega, że w archiwum z najnowszą paczką (2.8.10) znajduje się tylna furtka, umożliwiająca zdalne wykonanie kodu PHP. Co gorsza, złośliwy kod znaleziono również w paczce z października 2012, zatem może on być obecny we wszystkich wersjach pobieranych przez ostatnie ponad pół roku. Problem został odkryty w trakcie analizy powłamaniowej.
Zainfekowany fragment pliku JS wygląda tak:
this.each(function(){l=flashembed(this,k,j)} {jQuery.tools=jQuery.tools||{version:
{}};jQuery.tools.version.flashembed='1.0.2';
*/$j='ex'./**/'plode'; /* if(this.className ...i odwołuje się do złośliwego kodu we wtyczce openXVideoAds:
openx-2.8.10/etc/plugins/openXVideoAds.zip md5: 6b3459f16238aa717f379565650cb0c
Zespół OpenX potwierdził problem i pracuje obecnie nad informacją dla użytkowników. Tylna furtka istniejąca od wielu miesięcy w tym pakiecie może być wytłumaczeniem wielu tajemniczych infekcji serwisów www.
Komentarze
Kiedyś zgłoszonego SQLI poprawiali przez pół roku, więc tempo generalnie mają niezłe. Podejście do security też :)
http://blog.openx.org/12/security-matters-3/ – znalazłem to chyba w marcu 2011 :)
Kod OpenX jest tak żałośnie kiepski, że czas poprawek zupełnie nie dziwi. Od środka ta aplikacja wygląda jak tworzona przez zespół gimnazjalistów…
Pierwsza aplikacja, gdzie widziałem SQLI w cookie z sessionid :)