Yahoo siger, at angribere, der ledte efter Shellshock, fandt en anden fejl

Yahoo sagde mandag, at den har rettet en fejl, der blev foretaget forkert i Shellshock-fejlen, men ingen brugerdata blev påvirket.

Tre af virksomhedens servere med API'er (applikationsprogrammeringsgrænseflader), der leverer live streaming til dens Sportsservice “havde skadelig kode udført på dem i weekenden af ​​angribere, der ledte efter sårbare Shellshock-servere,” skrev Alex Stamos, Yahoos chef for informationssikkerhedschef.

Stamos skrev på webstedet Hacker News, at serverne var blevet lappet, efter at Shellshock-sårbarheden blev afsløret.

Yahoo blev underrettet af Jonathan Hall, senioringeniør og præsident for Future South Technologies, et sikkerhedskonsulentfirma. Hall skrev på sin blog, at han afslørede en sårbarhed på mindst to Yahoo-servere.

Hall skrev, at han fandt bevis for, at en gruppe af, hvad der ser ud til at være rumænske hackere, havde ramt Yahoo, Lycos og WinZip ved hjælp af Shellshock-sårbarheden til at inficere servere og opbygge et botnet, betegnelsen for et netværk af inficerede maskiner.

Shellshock, der først blev identificeret sent i sidste måned, er kaldenavnet for en fejl i en form for software kendt som Bash, en kommandolinjeprocessor på Unix og Linux-systemer. Sikkerhedshullet kunne lade angribere indsætte ekstra kode i computere, der kører Bash, så de kunne tage kontrol over serverne eksternt.

I en erklæring, der blev offentliggjort tidligere på mandag, syntes Yahoo at bekræfte Halls konstatering af, at Shellshock var skylden. Men Stamos offentliggjorde senere et indlæg på Hacker News og sagde, at yderligere undersøgelser viste, at Shellshock ikke var årsagen.

Angriberen, Stamos skrev, havde "muteret" deres udnyttelse og endte med at drage fordel af en anden bug, der var i et overvågningsscript, der blev kørt af Yahoos udviklere til at analysere og fejlsøge weblogfiler. Denne fejl var kun specifik for et lille antal maskiner, skrev han.

”Som du kan forestille dig, at denne episode forårsagede en vis forvirring i vores team, da de pågældende servere var blevet opdateret (to gange !!) umiddelbart efter, at Bash-emnet blev offentlig,” skrev han.

Hall skrev, at han sendte en e-mail-advarsel om sine fund til WinZip, en afdeling af Canada-baserede Corel. WinZip er et filkomprimeringsværktøj.

I en e-mail-erklæring mandag talte WinZip-talskvinde Jessica Gould ikke direkte til Halls fund, men sagde ”vi blev kontaktet af Mr. Hall næsten en uge efter, at vi begyndte vores lappeproces. Vi har siden svaret Mr. Hall direkte for at takke ham for at have kontaktet os. ”

Hall skrev på sin blog, at det så ud til, at WinZips servere var blevet kompromitteret ved hjælp af Shellshock. Disse servere blev derefter brugt til at søge efter andre sårbare webservere. Den ondsindede kode på WinZips servere, der er forbundet til en IRC-server, hvor den venter på kommandoer fra hackerne.

(Zach Miners i San Francisco bidrog til denne rapport.)

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.