Хакеры атакуют сервер объявлений OpenX в Adobe Attack

Хакеры использовали недостатки в популярном рекламном программном обеспечении с открытым исходным кодом, чтобы размещать вредоносный код в рекламных объявлениях на нескольких популярных веб-сайтах за последнюю неделю.

Нападающие используют пару ошибок в рекламном программном обеспечении OpenX для входа в рекламу а затем размещать вредоносный код в объявлениях, которые показываются на сайтах. В понедельник мультипликационный синдикат King Features сказал, что он был взломан на прошлой неделе из-за ошибок OpenX. Продукт компании Comics Kingdom, который поставляет комиксы и рекламу примерно на 50 веб-сайтов, был затронут.

После того, как в четверг утром были уведомлены о проблеме, King Features определили, что «с помощью взлома безопасности в приложении для рекламного сервера взломали хакеры вредоносный код в нашу базу данных объявлений », - говорится в сообщении компании, размещенном на его веб-сайте. King Features заявили, что вредоносный код использовал новую, непроверенную атаку Adobe для установки вредоносного ПО на компьютеры жертв, но это не могло быть немедленно проверено.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

Еще один пользователь OpenX, веб-сайт Is It It Cool News, по сообщениям, был атакован аналогичной атакой на прошлой неделе.

Атаки в Интернете - это любимый способ для кибер-преступников установить их вредоносное программное обеспечение, и этот последний раунд хаков показывает, как Сети рекламных серверов могут стать полезными каналами для атаки. В сентябре мошенники размещали вредоносное программное обеспечение на веб-сайте New York Times, представляя в качестве законных покупателей рекламы.

Тот же самый метод, который работал над функциями King и Not It Cool News, использовался для взлома, по крайней мере, двух других веб-сайтов сайтов на прошлой неделе, по словам одного администратора OpenX, который говорил на условиях анонимности, потому что у него не было разрешения говорить с прессой.

Атакующие использовали одну атаку, чтобы получить права входа на свой сервер, а затем загрузили злонамеренно закодированное изображение который содержал скрипт PHP, скрытый внутри него, сказал он. Просмотрев изображение, злоумышленники заставили скрипт выполнить на сервере. Затем он привязал фрагмент кода HTML ко всем объявлениям на сервере. Этот невидимый объект HTML, который был известен как iFrame, затем перенаправил посетителей на веб-сайт в Китае, который загрузил код атаки Adobe.

OpenX сказал, что ему известно о «отсутствии серьезных уязвимостей, связанных с текущей версией программного обеспечения - 2.8. 2 - в его загруженных или размещенных формах »в заявлении по электронной почте.

Как минимум один пользователь OpenX считает, что текущая версия продукта может быть уязвима для части этой атаки. В сообщении на форуме пользователь сказал, что он был взломан при работе с более старой версией программного обеспечения, но текущая версия (2.8.2) также уязвима. «Если вы используете текущую, немодифицированную версию OpenX, можно анонимно войти на сайт администратора и получить контроль над системой на уровне администратора», - писал он.

Более подробную информацию о взломе OpenX можно найти здесь.

Когда исследователи из Praetorian Security Group посмотрели на атаку Adobe, она не использовала неповрежденную ошибку Adobe, сказал Дэниел Кеннеди, партнер консалтинговой компании по вопросам безопасности. Он сказал, что атака объединила множество трех различных эксплойтов Adobe. «Мы не видим никаких доказательств того, что в январе 2012 будет исправлено Adobe».

Эксперты по безопасности говорят, что недостаток Adobe широко не использовался в онлайн-атаках, хотя он был публично раскрыт. В понедельник Symantec заявила, что получила менее 100 сообщений об атаке.

Возможно, это связано с тем, что многие люди все еще работают с более ранними версиями Reader, которые уязвимы для других атак. Adobe была любимой мишенью для читателей, поскольку аналогичная ошибка появилась в феврале прошлого года. Adobe исправила проблему в марте, но пользователи могут избежать этой атаки и текущей проблемы с Adobe, просто отключив JavaScript в своем программном обеспечении Reader.

«Все должны были просто изменить поведение своих читателей Adobe», - сказал Гэри Уорнер, директор по исследованиям в области компьютерной криминалистики в Университете штата Алабама в Бирмингеме. «Никто не читает читателя JavaScript».