Hackers hit OpenX-annonsservern i Adobe Attack

Hackare har utnyttjat brister i en populär programvara för öppen källkod för att placera skadlig kod på annonser på flera populära webbplatser under den senaste veckan.

Anfallarna utnyttjar ett par buggar i OpenX-annonseringsprogrammet för att logga in på reklam servrar och sedan placera skadlig kod när annonser visas på webbplatserna. På måndagen sade tecknade syndikatorn King Features att det hade hackats förra veckan på grund av OpenX-buggarna. Företagets Comics Kingdom-produkt, som levererar serier och annonser till cirka 50 webbplatser, påverkades.

Efter att ha meddelats problemet torsdag morgon bestämde King Features att "genom en säkerhetsutnyttjande i annonsserverprogrammet hade hackare injicerat en skadlig kod i vår annonsdatabas ", sa företaget i en anteckning som publicerades på sin webbplats. King-funktionerna sa att den skadliga koden använde ett nytt, oöverträffat Adobe-angrepp för att installera skadlig programvara på offrens datorer, men det kunde inte omedelbart verifieras.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

En annan OpenX-användare, webbplatsen Is not It Cool News, har rapporterats drabbas av en liknande attack förra veckan.

Webbaserade attacker är ett favorit sätt för cyberkriminella att installera sin skadliga programvara och den här senaste rundan av hacken visar hur Ad-servernätverk kan bli användbara ledningar för attack. I september placerade scammers skadlig programvara på The New York Times webbplats genom att utgöra legitima annonsköpare.

Den samma tekniken som fungerade på King Features och är inte cool News brukade hacka in på minst två andra webben webbplatser enligt förra veckan enligt en OpenX-administratör som pratade på villkor av anonymitet, eftersom han inte var behörig att prata med pressen.

Attackers använde en attack för att få inloggningsrättigheter på sin server och sedan laddat upp en skadlig kodad bild som innehöll ett PHP-skript gömt inne i det, sa han. Genom att titta på bilden tvingade angriparna skriptet att köras på servern. Den bifogade sedan ett koduttag av HTML-kod till varje annons på servern. Känd som en iFrame, omdirigerades det här osynliga HTML-objektet till en webbplats i Kina som hämtade Adobe-attackerkoden.

OpenX sa att det var medvetet om "inga större sårbarheter i samband med den nuvarande versionen av programvaran - 2.8. 2 - i antingen dess nedladdade eller värdformade formulär, "i en e-postadeställning."

Åtminstone en OpenX-användare anser att den aktuella versionen av produkten kanske är utsatt för en del av denna attack. I ett foruminlägg sa en användare att han hackades medan han körde en äldre version av programvaran, men att den nuvarande versionen (2.8.2) också är sårbar. "Om du kör en nuvarande, omodifierad release av OpenX, är det möjligt att anonymt logga in på administratörssidan och få kontroll över systemet på administratörsnivå," skrev han.

Mer information om OpenX hack kan hittas här.

När forskare vid Praetorian Security Group tittade på Adobe-attacket, utnyttjade den inte den oöverlästa Adobe-buggan, säger Daniel Kennedy, en partner med säkerhetskonsulten. Istället marscherade attacken ett sortiment av tre olika Adobe-exploater, sa han. "Vi ser inga bevis för att det är den 0 dag som kommer att patcheras av Adobe i januari."

Säkerhetsexperter säger att Adobe-felet inte har använts i stor utsträckning vid onlineventiler, även om det har blivit offentligt avslöjat. På måndagen sa Symantec att det hade fått mindre än 100 rapporter om attacken.

Det kan bero på att många fortfarande kör gamla versioner av Reader som är sårbara för andra attacker. Adobe har varit ett favoritmål för läsare eftersom en liknande bugg uppstod i februari i februari. Adobe patched problemet i mars, men användare kan undvika denna attack och det aktuella Adobe-problemet genom att helt enkelt inaktivera JavaScript i sin Reader-programvara.

"Alla borde bara ha ändrat beteendet på deras Adobe-läsare", säger Gary Warner, forskningschef i datorteknik vid University of Alabama i Birmingham. "Ingen läsare ska exekvera JavaScript."