OpenX ist eine breit eingesetzte quelloffene Software zur Verwaltung und Auslieferung von Werbebannern auf Webseiten. Die entdeckte Hintertür in der aktuellen Version 2.8.10 des OpenX-Ad-Servers ermögliche einem Angreifer, aus der Ferne beliebigen Programmcode der Skriptsprache PHP auf dem betroffenen Servern auszuführen.

Die Hintertür war nach Angaben des BSI von einem Leser des IT-Fachmediums "heise security" entdeckt und anschließend vom dem Bundesamt bestätigt worden. Sie werde bereits von Angreifern ausgenutzt. Der Hersteller der OpenX-Software habe die mit der Schadsoftware versehenen Installationspakete von seinem Download-Server entfernt und arbeitet nach Erkenntnissen von heise an einer offiziellen Sicherheitsmeldung. "Das BSI geht davon aus, dass die Hintertür bereits seit mehreren Monaten in den Installationspaketen enthalten war." Das BSI empfiehlt Administratoren von OpenX-Ad-Servern, ihre Systeme zu überprüfen. (dpa/tc)