Les pirates exploitent activement une faille de sécurité dangereuse dans OuvrirX – une solution de diffusion d’annonces en ligne pour les sites Web – pour diffuser des publicités piégées qui diffusent des logiciels malveillants et des exploits de navigateur sur d’innombrables sites Web qui dépendent de la solution.
Les experts en sécurité mettent en garde depuis des mois contre de mystérieuses attaques contre des installations OpenX dans lesquelles les propriétaires du site ont découvert de nouveaux comptes d’administrateurs malveillants. Cet accès permet aux malfaiteurs de charger des publicités corrompues sur des sites qui s’appuient sur le logiciel. Les mauvaises publicités tentent généralement d’imposer des logiciels malveillants aux visiteurs ou de les effrayer pour qu’ils paient faux logiciel de sécurité.
OpenX commence seulement à reconnaître les attaques, car de plus en plus d’utilisateurs posent des questions sans réponse sur les comptes d’administrateur mystérieusement ajoutés.
Ce problème a attiré mon attention après avoir lu un article de blog par un chercheur infosec Marc Baudouinqui a écrit à la fin du mois dernier au sujet de la découverte d’un compte administratif non autorisé appelé « openx-manager » sur l’un de ses clients OpenX 2.8.8 installations, la dernière version. Après de nombreuses recherches, Baldwin a découvert que le compte administrateur malveillant avait été créé pratiquement au même instant qu’il s’était connecté pour la dernière fois à l’installation OpenX du client.
Sur la base de ces découvertes et d’autres documentées dans son blog, Baldwin a conclu qu’OpenX 2.8.8 contient une faille non corrigée connue sous le nom de falsification de demande intersite (CSRF) vulnérabilité. Ces types de failles peuvent être particulièrement sournois car elles sont utilisées pour inciter la victime à charger une page contenant une requête malveillante. Les attaques CSRF sont le plus souvent utilisées pour forcer un utilisateur final à exécuter des actions indésirables sur une application Web dans laquelle il est actuellement authentifié, comme acheter un article ou ajouter/supprimer des informations de compte.
Baldwin m’a dit qu’il pensait que les attaquants avaient pu ajouter le compte d’administrateur escroc à l’installation OpenX de son client car OpenX contient une vulnérabilité CSRF qui permet de telles actions.
« Lorsque vous vous connectez à l’application OpenX, une annonce se charge via une iframe sur le côté droit du tableau de bord », a déclaré Baldwin dans une interview avec BreachTrace. « OpenX l’utilise pour promouvoir ses différents produits (actuellement OpenX Market). Cette iframe appelle d1.openx.org et surtout, charge du Javascript. Ceci est important car le seul moyen pour l’attaque CSRF de créer un nouvel utilisateur est via javascript, car cette action utilise la méthode POST. L’adresse IP de d1.openx.org est 173.241.250.2 et l’adresse de adserver.openx.org est 173.241.250.3. Pour autant que je sache, il s’agit peut-être des mêmes serveurs. Ma conviction est que ces systèmes ont été compromis et que le Javascript a été modifié pour injecter le compte administrateur malveillant via l’iframe dans le tableau de bord. Ainsi, lorsqu’un administrateur se connecte, le compte est créé sans aucune interaction de sa part. »
J’ai confronté les responsables d’OpenX à ce sujet lundi. Lors d’un très bref appel téléphonique aujourd’hui, les dirigeants de l’entreprise ont refusé de discuter des attaques en détail, mais ont reconnu l’existence d’une vulnérabilité CSRF dans le logiciel qui alimente leurs plates-formes publicitaires gratuites et d’entreprise. Directeur de la technologie OpenX Michel Todd a déclaré que la société publierait bientôt des instructions sur son blog décrivant les mesures que les utilisateurs peuvent prendre pour empêcher les attaquants de profiter de cette faille, et qu’il espérait déployer un correctif officiel pour son produit OpenX Source, qui est la version gratuite de la plate-forme offerte à quiconque souhaite héberger son propre numérique services publicitaires.
« Ce que nous allons faire au début de la semaine prochaine – lundi ou mardi – est de publier une nouvelle version d’OpenX que les gens pourront télécharger dès que possible », a déclaré Todd. «Nous prenons quelques jours supplémentaires pour nous assurer que cela se fait correctement et que nous effectuons tous les tests nécessaires avant de le publier. Mais d’abord, nous publierons un article sur l’atténuation qui expliquera aux gens comment ils peuvent modifier leurs systèmes », a-t-il déclaré.
responsable de la communication d’OpenX, Al Duncan, inexplicablement écourté l’interview après avoir posé seulement deux questions, je n’ai donc pas été en mesure d’obtenir des éclaircissements sur d’autres aspects de cette attaque, par exemple si les systèmes internes d’OpenX ont pu être abusés dans les compromis et depuis combien de temps l’entreprise était au courant du problème. Je voulais également en savoir plus sur la différence entre cette vulnérabilité et une faille CSRF similaire dans OpenX v. 2.8.7 qui a été divulgué en juin 2011 par le chercheur Narendra Shindé.
Il n’est pas clair si la faille CSRF détaillée par Shinde est effectivement le même bogue qui existe dans cette dernière version. Mais les attaquants ciblant ces failles semblent avoir utilisé le même nom pour le compte administrateur escroc que Baldwin a découvert sur l’installation OpenX de son client : « openx-manager ».
Jusqu’à ce qu’OpenX publie son article de blog, les utilisateurs et les clients de ce produit devraient envisager de consulter le conseils d’atténuation offert sur le blog de Baldwin.
Pour plus d’informations sur ce sujet, consultez les messages du forum OpenX de nov. 2011, janvier 2012, mars 2012, et avril 2012. Entreprises de sécurité Internet Armoriser et Sophos ont également tiré la sonnette d’alarme au sujet de ces attaques.