xaker

SQL-инъекция в баннерообменной сети Orbit Open Ad Server

  • пятница, 11 апреля 2014 г. в 03:11:16
http://www.xakep.ru/post/62337/

Компания High-Tech Bridge сообщила об уязвимости в популярной баннерообменной сети Orbit Open Ad Server, которая доставляет рекламу на миллионы сайтов. Уязвимость CVE-2014-2540 позволяет внедрить вредоносный баннер, который угрожает безопасности посетителей всех сайтов в этой сети. Подобный метод (malvertising) очень опасен, потому что не требует от злоумышленника особых усилий. С малейшими трудозатратами он получает доступ к огромной аудитории пользователей на многих сайтах.

Уязвимость связана с отсутствием правильной фильтрации параметра "site_directory_sort_field" HTTP POST на доступ по адресу "/guest/site_directory" перед исполнением SQL-запроса. Это можно использовать, внедрив произвольные команды в SQL-запросы.

В целях демонстрации специалисты High-Tech Bridge опубликовали несколько вариантов вредоносного кода, который будет исполнен на сайтах участников баннерообменной сети Orbit Open Ad Server. Один из примеров показывает DNS-эксфильтрацию на базе данных под Windows, а второй пример показывает, как можно извлекать данные из БД на любой платформе (UNIX/Windows).

Orbit Open Ad Server — рекламная площадка с открытым исходным кодом. Но практика показывает, что даже в открытых продуктах бывают опасные ошибки. Похожие уязвимости были обнаружены в другой открытой баннерообменной сети OpenX в 2012 и 2013 годах. Так что веб-мастерам следует несколько раз задуматься, прежде чем допускать сторонний код на свои сайты.

Ну, а пользователям Orbit Open Ad Server нужно поскорее обновиться на новую версию Orbit Open Ad Server 1.1.1, в которой исправлен баг с SQL-инъекциями. Пользователям, как и раньше, рекомендуется отключать просмотр рекламы и использовать антивирусы.