Yahoo sier at angripere som lette etter Shellshock fant en annen feil

Yahoo sa mandag at den har løst en feil som ble tatt feil av Shellshock-feilen, men ingen brukerdata ble berørt.

Tre av selskapets servere med API-er (applikasjonsprogrammeringsgrensesnitt) som gir live streaming for sin Sports-tjeneste "hadde skadelig kode kjørt på dem i helgen av angripere som lette etter sårbare Shellshock-servere," skrev Alex Stamos, Yahoos sjef for informasjonssikkerhetssjef.

Stamos skrev på nettstedet Hacker News at serverne hadde blitt lappet etter at Shellshock-sårbarheten ble avslørt.

Yahoo ble varslet av Jonathan Hall, senioringeniør og president i Future South Technologies, et sikkerhetskonsulentfirma. Hall skrev på bloggen sin at han avdekket en sårbarhet på minst to Yahoo-servere.

Hall skrev at han fant bevis på at en gruppe av det som ser ut til å være rumenske hackere, hadde truffet Yahoo, Lycos og WinZip, ved å bruke Shellshock-sårbarheten for å infisere servere og bygge et botnet, betegnelsen for et nettverk av infiserte maskiner.

Shellshock, som først ble identifisert sent i forrige måned, er kallenavnet for en feil i en form for programvare kjent som Bash, en kommandolinjeprosessor på Unix og Linux-systemer. Sikkerhetshullet kunne la angripere sette inn ekstra kode i datamaskiner som kjører Bash, slik at de kan ta kontroll over serverne eksternt.

I en uttalelse som ble utgitt tidligere på mandag, så det ut til at Yahoo bekreftet Halls funn at Shellshock hadde skylden. Men Stamos publiserte senere et innlegg på Hacker News som sa at videre etterforskning viste at Shellshock ikke var årsaken.

Angriperne, skrev Stamos, hadde "mutert" sin utnyttelse og endte opp med å dra nytte av en annen feil som var i et overvåkingsskript som ble drevet av Yahoos utviklere for å analysere og feilsøke nettlogger. Den feilen var bare spesifikk for et lite antall maskiner, skrev han.

"Som du kan forestille deg at denne episoden forårsaket en viss forvirring i teamet vårt, siden serverne det gjelder var vellykket lappet (to ganger !!) rett etter at Bash-saken ble offentlig," skrev han.

Hall skrev at han sendte en e-postvarsel om sine funn til WinZip, en avdeling av Canada-baserte Corel. WinZip er et filkomprimeringsverktøy.

I en e-postuttalelse mandag adresserte WinZip-talskvinne Jessica Gould ikke direkte Halls funn, men sa at "vi ble kontaktet av Mr. Hall nesten en uke etter at vi startet vår lappeprosess. Vi har siden svart direkte til Hall for å takke ham for at han tok kontakt med oss. ”

Hall skrev på bloggen sin at det så ut til at WinZips servere hadde blitt kompromittert ved bruk av Shellshock. Disse serverne ble deretter brukt til å søke etter andre sårbare webservere. Den ondsinnede koden på WinZips servere koblet til en IRC-server, der den venter på kommandoer fra hackerne.

(Zach Miners i San Francisco bidro til denne rapporten.)

Bli med i Network World-samfunnene på Facebook og LinkedIn for å kommentere temaer som er uten oppmerksomhet.