Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf eine Hintertür in der aktuellen Version 2.8.10 des OpenX Ad-Servers hin. OpenX ist eine weit verbreitet eingesetzte Software zur Verwaltung und Auslieferung von Werbebannern auf Webseiten. Die entdeckte Hintertür ermöglicht einem Angreifer aus der Ferne, beliebigen PHP-Programmcode auf betroffenen Servern auszuführen. Die von einem Leser des IT-Fachmediums heise entdeckte und vom BSI anschließend verifizierte Hintertür wird bereits von Angreifern zur Kompromittierung von Webservern ausgenutzt. Der Hersteller der OpenX-Software hat die mit der Hintertür versehenen Installationspakete der Version 2.8.10 von seinem Download-Server entfernt und arbeitet nach Erkenntnissen von heise an einer offiziellen Sicherheitsmeldung. Das BSI geht davon aus, dass die Hintertür bereits seit mehreren Monaten in den Installationspaketen enthalten war.
Das BSI empfiehlt Adminstratoren von OpenX Ad-Servern, ihre Systeme auf Kompromittierung zu überprüfen und betroffene Systeme zu bereinigen. Durch Suche nach verstecktem PHP-Code in den Javascript-Dateien des OpenX Ad-Servers können Administratoren feststellen, ob ihr System von der Hintertür betroffen ist. Eine Anleitung findet sich auf den Seiten des Bürger-CERT (Computer Emergency Response Team) des BSI.
Bereits im April 2013 hat das BSI in einer Pressemeldung darauf hingewiesen, dass Online-Kriminelle erneut in großem Umfang OpenX-Server zur Auslieferung von Werbebannern kompromittiert haben. Dabei wurden auf vielen bekannten deutschsprachigen Webseiten manipulierte Werbebanner ausgeliefert, welche schädlichen Code enthielten, der automatisiert nach Sicherheitslücken auf dem PC sucht und darüber Schadprogramme wie Online-Banking-Trojaner auf den PCs der Webseiten-Besucher installiert. Die nun entdeckte Hintertür in der aktuellen Downloadversion von OpenX könnte einen der möglichen Angriffswege darstellen.
(Bundesamt für Sicherheit in der Informationstechnik)
—-
Weiterführende Informationen:
– Auf der Website des Bundesamtes für Sicherheit in der Informationstechnik
– Bundeswirtschaftsministerium: Task Force IT-Sicherheit in der Wirtschaft
– eco – Verband der deutschen Internetwirtschaft: Initiative-S
– Der Marktplatz für IT-Sicherheit
Weiterführende Artikel
– US-Wirtschaftsspionage: Unternehmen müssen bei IT-Sicherheitstechnologien nachrüsten!
– Studie zum Datenklau: Unternehmen in falscher Sicherheit – Dunkelziffer hoch – Sicherheit ungenügend
– IT-Sicherheit: Gütesiegel für sichere Unternehmens-Webseiten
– Bundesamt für Sicherheit in der Informationstechnik: Sicherheitsstudie Content Management System
– IT – aber sicher! Projekte für mehr Security im Mittelstand
—-