Résumé : Depuis novembre dernier, la solution logicielle d'annonces publicitaires OpenX contient une porte dérobée, codée en PHP, au sein d'un fichier Javascript. Par l'intermédiaire de cette dernière, des attaquants sont aptes à exécuter n'importe quel code PHP sur les serveurs Web utilisant OpenX.
Si, dans les neufs derniers mois, vous avez installé le serveur OpenX afin de gérer les bannières publicitaires de votre site Web, il y a une forte probabilité pour que des personnes mal intentionnées aient déjà à disposition une porte dérobée permettant le contrôle distant de votre serveur Web, profitant par ailleurs de l'ensemble des mots de passe stockés dans vos bases de données.
Un code caché dans cette solution a en effet été découvert par un lecteur du site Web allemand Heise Online, ce code ayant depuis été confirmé par Sucuri, donc de manière officielle. Ce code n'ayant pas été détecté depuis novembre dernier, il autorise donc depuis des attaquants à exécuter n'importe quel code PHP sur des sites utilisant une version vulnérable d'OpenX.
Coca-Cola, Bloomberg, Samsung et CBS Interactive ne sont que quelques exemples parmi tant d'autres de ces sites vulnérables. La porte dérobée étant cachée dans le fichier « flowplayer-3.1.1.min.js » qui se trouve sous l'arborescence « /plugins ». Au sein du code Javascript légitime, se trouve donc un script PHP malicieux utilisant la fonction « eval » afin d'exécuter du code PHP arbitraire.
Le fait de mixer le code PHP malicieux avec du code Javascript légitime est peut être ce qui fait que la porte dérobée n'ait pas été détectée plus tôt, néanmoins une simple recherche de balises PHP au sein de ces fichiers aurait permis de détecter la présence de cette porte dérobée. Néanmoins, et après analyse, il semble qu'elle n'ait pas été utilisée pour de l'exploitation massive, mais plutôt pour une attaque ciblée.
« Backdoor in popular ad-serving software opens websites to remote hijacking » sur « Ars Technica Risk Assessment » (
lien )
