Yahoo afferma che gli aggressori che cercano Shellshock hanno riscontrato un bug diverso

Yahoo ha dichiarato lunedì di aver corretto un errore che era stato confuso con il difetto Shellshock, ma nessun dato dell'utente era interessato.

Tre dei server dell'azienda con API (interfacce di programmazione dell'applicazione) che forniscono streaming live per il suo servizio sportivo "hanno avuto codice maligno eseguito su di loro questo fine settimana da aggressori alla ricerca di server Shellshock vulnerabili", ha scritto Alex Stamos, Chief Information Security Officer di Yahoo.

Stamos ha scritto sul sito Web di Hacker News che i server erano stati patchati dopo la divulgazione della vulnerabilità di Shellshock.

Yahoo è stata informata da Jonathan Hall, ingegnere senior e presidente di Future South Technologies, una società di consulenza di sicurezza. Hall ha scritto sul suo blog di aver scoperto una vulnerabilità in almeno due server Yahoo.

Hall ha scritto che ha trovato prove che un gruppo di quelli che sembrano essere hacker rumeni aveva colpito Yahoo, Lycos e WinZip, usando la vulnerabilità Shellshock per infettare server e costruire una botnet, il termine per una rete di macchine infette.

Shellshock, identificato per la prima volta alla fine del mese scorso, è il soprannome di un difetto in una forma di software noto come Bash, un processore shell da riga di comando su sistemi Unix e Linux. Il buco nella sicurezza potrebbe consentire agli aggressori di inserire codice aggiuntivo nei computer che eseguono Bash, consentendo loro di assumere il controllo remoto dei server.

In una dichiarazione rilasciata lunedì scorso, Yahoo sembrava confermare la conclusione di Hall secondo cui Shellshock avrebbe avuto la colpa. Ma Stamos ha successivamente pubblicato un post su Hacker News dicendo che ulteriori indagini hanno dimostrato che Shellshock non era la causa.

Gli aggressori, scrisse Stamos, avevano "mutato" il loro exploit e finirono col trarre vantaggio da un diverso bug che si trovava in uno script di monitoraggio gestito dagli sviluppatori di Yahoo per analizzare ed eseguire il debug dei log Web. Quel bug era specifico solo per un numero limitato di macchine, scrisse.

"Come puoi immaginare questo episodio ha causato un po 'di confusione nel nostro team, poiché i server in questione sono stati corretti con successo (due volte !!) immediatamente dopo che il problema di Bash è diventato pubblico", ha scritto.

Hall ha scritto che ha inviato un avviso via e-mail delle sue scoperte a WinZip, una divisione della Corel con sede in Canada. WinZip è un'utilità di compressione dei file.

In una dichiarazione via e-mail di lunedì, la portavoce di WinZip Jessica Gould non ha affrontato direttamente i risultati di Hall, ma ha dichiarato: "Siamo stati contattati dal signor Hall quasi una settimana dopo aver iniziato il nostro processo di patching. Da allora abbiamo risposto direttamente al signor Hall per ringraziarlo per averci contattato. "

Hall ha scritto sul suo blog che sembrava che i server di WinZip fossero stati compromessi usando Shellshock. Tali server venivano quindi utilizzati per cercare altri server Web vulnerabili. Il codice dannoso sui server di WinZip si è collegato a un server IRC, dove attende i comandi degli hacker.

(Zach Miners a San Francisco ha contribuito a questo rapporto.)

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.