Yahoo mówi, że atakujący szukający Shellshock znaleźli inny błąd

Yahoo powiedział w poniedziałek, że naprawił błąd, który został błędnie uznany za usterkę Shellshock, ale nie wpłynęło to na dane użytkownika.

Na trzech serwerach firmy wyposażonych w interfejsy API (interfejsy programowania aplikacji), które zapewniają transmisję strumieniową na żywo dla jej usługi sportowej „w ten weekend wykonali na nich złośliwy kod przez atakujących szukających podatnych serwerów Shellshock”, napisał Alex Stamos, główny oficer bezpieczeństwa informacji Yahoo.

Stamos napisał na stronie Hacker News, że serwery zostały załatane po ujawnieniu podatności Shellshock.

O Yahoo powiadomił Jonathan Hall, starszy inżynier i prezes Future South Technologies, firmy konsultingowej w zakresie bezpieczeństwa. Hall napisał na swoim blogu, że odkrył lukę w co najmniej dwóch serwerach Yahoo.

Hall napisał, że znalazł dowody na to, że grupa hakerów z Rumunii zaatakowała Yahoo, Lycos i WinZip, wykorzystując lukę Shellshock do infekowania serwerów i budowy botnetu, co jest terminem określającym sieć zainfekowanych maszyn..

Shellshock, po raz pierwszy zidentyfikowany pod koniec ubiegłego miesiąca, jest pseudonimem wady w postaci oprogramowania znanego jako Bash, procesor powłoki wiersza poleceń w systemach Unix i Linux. Luka w zabezpieczeniach może pozwolić atakującym na wstawienie dodatkowego kodu do komputerów z uruchomionym Bash, umożliwiając im zdalne przejęcie kontroli nad serwerami.

W oświadczeniu opublikowanym wcześniej w poniedziałek Yahoo zdawało się potwierdzać odkrycie Halla, że ​​winien był Shellshock. Ale Stamos opublikował później post w Hacker News, mówiąc, że dalsze dochodzenie wykazało, że Shellshock nie był przyczyną.

Atakujący, jak napisał Stamos, „zmutowali” swój exploit i wykorzystali inny błąd, który był w skrypcie monitorującym uruchamianym przez programistów Yahoo do analizowania i debugowania dzienników sieciowych. Pisał, że ten błąd dotyczy tylko niewielkiej liczby maszyn.

„Jak możesz sobie wyobrazić, ten odcinek spowodował pewne zamieszanie w naszym zespole, ponieważ omawiane serwery zostały pomyślnie załatane (dwa razy !!) natychmiast po upublicznieniu wydania Bash”, napisał.

Hall napisał, że wysłał e-mailem ostrzeżenie o swoich odkryciach do WinZip, oddziału kanadyjskiego Corel. WinZip to narzędzie do kompresji plików.

W e-mailu w poniedziałek rzeczniczka WinZip, Jessica Gould, nie odniosła się bezpośrednio do ustaleń Hall'a, ale powiedziała: „skontaktował się z nami Hall prawie tydzień po rozpoczęciu procesu łatania. Od tego czasu bezpośrednio odpowiedzieliśmy panu Hallowi, aby podziękować mu za skontaktowanie się z nami. ”

Hall napisał na swoim blogu, że wygląda na to, że zaatakowano serwery WinZip przy użyciu Shellshock. Serwery te były następnie wykorzystywane do wyszukiwania innych podatnych serwerów WWW. Złośliwy kod na serwerach WinZip połączony z serwerem IRC, na którym czeka na polecenia hakerów.

(Zach Miners w San Francisco przyczynił się do powstania tego raportu).

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.