Gli hacker hanno colpito OpenX Ad Server in Adobe Attack

Gli hacker hanno sfruttato le falle in un popolare software pubblicitario open source per inserire codice malevolo negli annunci pubblicitari su diversi siti Web popolari nell'ultima settimana.

Gli hacker sfruttano una coppia di bug nel software pubblicitario OpenX per accedere alla pubblicità server e quindi inserire codice dannoso sugli annunci offerti sui siti. Lunedi, il sindacato dei cartoni animati King Features ha dichiarato di essere stato hackerato la scorsa settimana a causa dei bug di OpenX. Il prodotto Comics Kingdom dell'azienda, che consegna fumetti e annunci a circa 50 siti Web, è stato interessato.

Dopo essere stato informato del problema giovedì mattina, King Features ha stabilito che "tramite un exploit di sicurezza nell'applicazione dell'ad server, gli hacker avevano iniettato un codice dannoso nel nostro database di annunci ", ha detto la società in una nota pubblicata sul suo sito Web. King Features ha affermato che il codice dannoso ha utilizzato un nuovo attacco Adobe senza patch per installare software dannoso sui computer delle vittime, ma che non è stato possibile verificarlo immediatamente.

[Ulteriori informazioni: Come rimuovere il malware dal PC Windows]

Un altro utente di OpenX, il sito Web di Not not Cool News è stato colpito da un attacco simile la scorsa settimana.

Gli attacchi basati sul Web sono uno dei metodi preferiti dai cyber-criminali per installare il loro software dannoso e questo ultimo round di hack mostra come le reti di ad server possono diventare conduit utili per l'attacco. A settembre, i truffatori hanno inserito software dannoso sul sito Web del New York Times presentandosi come acquirenti di annunci legittimi.

Questa stessa tecnica che ha funzionato su King Features e Is not It Cool News è stata utilizzata per hackerare almeno altri due Web siti la scorsa settimana, secondo un amministratore di OpenX che ha parlato a condizione di anonimato, perché non era autorizzato a parlare con la stampa.

Gli aggressori hanno usato un attacco per ottenere i diritti di accesso al proprio server, e poi hanno caricato un'immagine codificata maliziosamente che conteneva uno script PHP nascosto al suo interno, ha detto. Visualizzando l'immagine, gli hacker hanno forzato lo script ad eseguirlo sul server. Quindi ha allegato uno snippet di codice HTML a ogni annuncio sul server. Conosciuto come iFrame, questo oggetto HTML invisibile ha poi reindirizzato i visitatori a un sito Web in Cina che ha scaricato il codice di attacco di Adobe.

OpenX ha dichiarato di non essere "vulnerabili alla versione attuale del software - 2.8. 2 - nei suoi moduli scaricati o ospitati, "in una dichiarazione inviata via e-mail.

Almeno un utente OpenX ritiene che la versione corrente del prodotto potrebbe essere vulnerabile a parte di questo attacco, comunque. In un post sul forum, un utente ha affermato di essere stato violato durante l'esecuzione di una versione precedente del software, ma anche la versione corrente (2.8.2) è vulnerabile. "Se si sta eseguendo una versione attuale e non modificata di OpenX, è possibile accedere in modo anonimo al sito di amministrazione e ottenere il controllo a livello di amministratore del sistema", ha scritto.

Ulteriori dettagli sull'hack di OpenX sono disponibili qui.

Quando i ricercatori del Praetorian Security Group hanno esaminato l'attacco di Adobe, non hanno sfruttato il bug Adobe non patchato, ha dichiarato Daniel Kennedy, un partner della società di consulenza sulla sicurezza. Invece, l'attacco ha schierato un assortimento di tre diversi exploit di Adobe, ha detto. "Non vediamo alcuna prova che sia lo 0day che verrà aggiornato da Adobe a gennaio".

Gli esperti di sicurezza dicono che il difetto di Adobe non è stato ampiamente utilizzato negli attacchi online, anche se è stato divulgato pubblicamente. Lunedì, Symantec ha dichiarato di aver ricevuto meno di 100 segnalazioni dell'attacco.

Ciò potrebbe essere dovuto al fatto che molte persone utilizzano ancora versioni precedenti di Reader vulnerabili ad altri attacchi. Adobe è stato il bersaglio preferito dei lettori da quando un bug simile è emerso lo scorso febbraio. Adobe ha corretto il problema a marzo, ma gli utenti possono evitare questo attacco e l'attuale problema di Adobe semplicemente disabilitando JavaScript nel loro software Reader.

"Tutti dovrebbero aver appena cambiato il comportamento sul proprio lettore Adobe", ha dichiarato Gary Warner, direttore della ricerca in informatica forense presso l'Università dell'Alabama di Birmingham "Il lettore di nessuno dovrebbe eseguire JavaScript."