Поступила информация о распространении вредоносного кода на некоторых популярных web-ресурсах, использующих для показа баннеров открытый рекламный движок OpenX, ранее развиваемый под именем phpAdsNew. Среди таких сайтов, например, оказался один из самых популярных Torrent-ресурсов Pirate Bay, а также юмористический сайт esarcasm.com. Одновременно, чтобы помешать выпуску обновления с исправлением уязвимости, на сайт проекта OpenX была инициирована DDoS-атака - на днях в OpenX была зафиксирована критическая уязвимость, позволяющая в конфигурации по умолчанию организовать выполнение PHP-кода на сервере.

Интересно, что проблема оставалась неисправленной с декабря прошлого года, именно в тот момент в базовую поставку был включен новый модуль Open Flash Chart (ofc_upload_image.php), который по недосмотру разработчиков позволял злоумышленникам загрузить произвольные файлы на сервер. Более того, в использующем данный модуль проекте web-аналитики Piwik данная уязвимость уже была исправлена около года назад, при этом по каким-то причинам исправления не были приняты разработчиками Open Flash Chart.

Причиной появления уязвимости является отсутствие при загрузке информации должной проверки на тип загружаемых файлов - злоумышленник имел возможность вместо изображения загрузить скрипт с расширением ".php", который затем мог был выполнен, если администратор сайта специально не изменил настройки, запретив выполнение скриптов в директории с изображениями. Одним из признаков взлома является появление на сервере директории "admin/plugins/videoReport/lib/tmp-upload-images".

Наиболее простым способом защиты от уязвимости является удаление файла "admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php" или блокирование доступа к нему через .htaccess. Кроме того, разработчики уже выпустили корректирующее обновление OpenX 2.8.7.