Yahoo zegt dat aanvallers die op zoek zijn naar Shellshock een andere bug hebben gevonden

Yahoo zei maandag dat het een bug heeft verholpen die werd aangezien voor de Shellshock-fout, maar dat er geen gebruikersgegevens werden beïnvloed.

Drie van de servers van het bedrijf met API's (applicatie-programmeerinterfaces) die livestreaming bieden voor de Sports-service 'hebben dit weekend kwaadaardige code uitgevoerd door aanvallers die op zoek waren naar kwetsbare Shellshock-servers', schreef Alex Stamos, Yahoo's chief information security officer.

Stamos schreef op de Hacker News-website dat de servers waren gepatcht nadat de Shellshock-kwetsbaarheid was bekendgemaakt.

Yahoo werd geïnformeerd door Jonathan Hall, senior engineer en president van Future South Technologies, een beveiligingsadviesbureau. Hall schreef op zijn blog dat hij een kwetsbaarheid in ten minste twee Yahoo-servers ontdekte.

Hall schreef dat hij bewijs had gevonden dat een groep Roemeense hackers Yahoo, Lycos en WinZip had getroffen door de kwetsbaarheid van Shellshock om servers te infecteren en een botnet te bouwen, de term voor een netwerk van geïnfecteerde machines.

Shellshock, eind vorige maand voor het eerst geïdentificeerd, is de bijnaam voor een fout in een vorm van software die bekend staat als Bash, een commandoregel-shellprocessor op Unix- en Linux-systemen. Door het beveiligingslek kunnen aanvallers extra code invoegen in computers met Bash, waardoor ze op afstand de controle over servers kunnen overnemen.

In een eerder op maandag gepubliceerde verklaring leek Yahoo de bevinding van Hall te bevestigen dat Shellshock de schuldige was. Maar Stamos publiceerde later een bericht op Hacker News waarin stond dat nader onderzoek aantoonde dat Shellshock niet de oorzaak was.

De aanvallers, schreef Stamos, hadden hun exploitatie 'gemuteerd' en profiteerden uiteindelijk van een andere bug die in een bewakingsscript stond dat door de ontwikkelaars van Yahoo werd uitgevoerd om weblogs te parseren en te debuggen. Die bug was slechts specifiek voor een klein aantal machines, schreef hij.

"Zoals je je kunt voorstellen, veroorzaakte deze aflevering enige verwarring bij ons team, aangezien de servers in kwestie met succes waren gepatcht (tweemaal !!) onmiddellijk nadat het Bash-probleem openbaar werd gemaakt", schreef hij.

Hall schreef dat hij een e-mailwaarschuwing over zijn bevindingen stuurde naar WinZip, een divisie van het in Canada gevestigde Corel. WinZip is een hulpprogramma voor bestandscompressie.

In een e-mailverklaring op maandag heeft WinZip-woordvoerster Jessica Gould niet direct ingegaan op de bevindingen van Hall, maar zei: "We werden bijna een week nadat we met ons patchproces begonnen, benaderd door Mr. Hall. Sindsdien hebben we dhr. Hall rechtstreeks geantwoord om hem te bedanken dat hij contact met ons heeft opgenomen. '

Hall schreef op zijn blog dat het erop leek dat de servers van WinZip waren gecompromitteerd met Shellshock. Die servers werden vervolgens gebruikt om naar andere kwetsbare webservers te zoeken. De schadelijke code op de servers van WinZip is verbonden met een IRC-server en wacht op opdrachten van de hackers.

(Zach Miners in San Francisco hebben bijgedragen aan dit rapport.)

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.