BSI weist auf Hintertür in OpenX-Ad-Server hin

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist Website-Betreiber auf eine Sicherheitslücke in Version 2.8.10 des OpenX-Ad-Server hin. Diese weit verbreitete Software dient der Verwaltung und Auslieferung von Werbebannern auf Webseiten. Die nun entdeckte Hintertür in der aktuellen Version ermöglicht einem Angreifer aus der Ferne beliebigen PHP-Programmcode auf einem Webserver auszuführen. Sie wird bereits ausgenutzt.

Das BSI geht davon aus, dass die Hintertür bereits seit mehreren Monaten in den Installationspaketen enthalten war. Der Hersteller der OpenX-Software hat die mit der Hintertür versehenen Installationspakete der Version 2.8.10 von seinem Download-Server entfernt.

Administratoren von OpenX-Ad-Servern empfiehlt das BSI, ihre Systeme zu überprüfen und gegebenenfalls zu bereinigen. Ob ihr System von der Hintertür betroffen ist, können sie durch die Suche nach verstecktem PHP-Code in den Javascript-Dateien des OpenX-Ad-Servers feststellen. Wie dabei vorzugehen ist, erklärt das BSI auf den Seiten des Bürger-CERT.

Das BSI hatte bereits im April 2013 darauf hingewiesen, dass Kriminelle in großem Umfang OpenX-Server kompromittiert haben, um darüber Werbebannern auszuliefern. Sie konnten so auf vielen bekannten deutschsprachigen Webseiten Werbebanner mit schädlichen Code platzieren. Der suchte automatisiert nach Sicherheitslücken auf dem PC und installierte dann passende Schadprogramme wie Online-Banking-Trojaner auf den PCs der Webseiten-Besucher. Die nun entdeckte Hintertür könnte laut BSI einer der möglichen Angriffswege sein.