Tylna furtka w OpenX

dodał 6 sierpnia 2013 o 09:20 w kategorii Drobiazgi, Włamania  z tagami:

Jeśli korzystacie z OpenX do serwowania reklam, lepiej sprawdźcie, czy Wasza wersja nie ma dodatkowych funkcjonalności. Serwis xClose.de ostrzega, że w archiwum z najnowszą paczką (2.8.10) znajduje się tylna furtka, umożliwiająca zdalne wykonanie kodu PHP. Co gorsza, złośliwy kod znaleziono również w paczce z października 2012, zatem może on być obecny we wszystkich wersjach pobieranych przez ostatnie ponad pół roku. Problem został odkryty w trakcie analizy powłamaniowej.

Zainfekowany fragment pliku JS wygląda tak:

this.each(function(){l=flashembed(this,k,j)} {jQuery.tools=jQuery.tools||{version:
 {}};jQuery.tools.version.flashembed='1.0.2';
 */$j='ex'./**/'plode'; /* if(this.className ...

i odwołuje się do złośliwego kodu we wtyczce openXVideoAds:

openx-2.8.10/etc/plugins/openXVideoAds.zip
     md5: 6b3459f16238aa717f379565650cb0c

Zespół OpenX potwierdził problem i pracuje obecnie nad informacją dla użytkowników. Tylna furtka istniejąca od wielu miesięcy w tym pakiecie może być wytłumaczeniem wielu tajemniczych infekcji serwisów www.