De ontwikkelaars van de advertentiesoftware OpenX hebben bevestigd dat er maandenlang een backdoor in de officiële download van het programma heeft gezeten waardoor aanvallers willekeurige PHP-code op de server van gebruikers konden uitvoeren. OpenX wordt door zeer veel websites gebruikt voor het tonen van advertenties.

Het biedt een geïntegreerde interface om banners te managen en een trackingsysteem voor het monitoren van bezoekers. Begin deze week kwam het Duitse Heise met de ontdekking van de backdoor, die door OpenX werd bevestigd. Nu is er een forumposting met iets meer details verschenen, hoewel het nog steeds onbekend is hoe aanvallers de code konden aanpassen.

Update

Vanwege de ontdekte backdoor in versie 2.8.10 is nu versie 2.8.11 verschenen. Volgens de ontwikkelaars is dit een "verplichte" update. OpenX benadrukt dat de backdoor alleen in de gratis opensourceversie aanwezig was en niet in de commerciële versies van de software.

Security engineer Nick Soracco laat in een blogposting weten dat gebruikers niet alleen de meest recente versie moeten gebruiken, maar dat ze ook regelmatig de accounts moeten auditen die toegang tot het systeem hebben. Hoeveel websites de kwetsbare OpenX-versie gebruiken is onbekend.