Yahoo sagte am Montag, es habe einen Fehler behoben, der mit dem Shellshock-Fehler verwechselt wurde, aber keine Benutzerdaten waren betroffen.
Auf drei Servern des Unternehmens mit APIs (Anwendungsprogrammierschnittstellen), die Live-Streaming für den Sportdienst bereitstellen, wurde an diesem Wochenende von Angreifern, die nach anfälligen Shellshock-Servern suchen, bösartiger Code ausgeführt, schrieb Alex Stamos, Chief Information Security Officer von Yahoo.
Stamos schrieb auf der Hacker News-Website, dass die Server gepatcht wurden, nachdem die Shellshock-Sicherheitsanfälligkeit bekannt wurde.
Yahoo wurde von Jonathan Hall, leitender Ingenieur und Präsident von Future South Technologies, einem Sicherheitsberatungsunternehmen, benachrichtigt. Hall schrieb in seinem Blog, dass er eine Sicherheitslücke in mindestens zwei Yahoo-Servern aufgedeckt habe.
Hall schrieb, er habe Beweise dafür gefunden, dass eine Gruppe von scheinbar rumänischen Hackern Yahoo, Lycos und WinZip getroffen hatte, indem sie die Shellshock-Sicherheitslücke nutzten, um Server zu infizieren und ein Botnetz aufzubauen, die Bezeichnung für ein Netzwerk infizierter Computer.
Shellshock, das Ende letzten Monats erstmals identifiziert wurde, ist der Spitzname für einen Fehler in einer Softwareform namens Bash, einem Befehlszeilen-Shell-Prozessor auf Unix- und Linux-Systemen. Durch die Sicherheitslücke können Angreifer zusätzlichen Code in Computer einfügen, auf denen Bash ausgeführt wird, sodass sie die Kontrolle über Server aus der Ferne übernehmen können.
In einer am Montag veröffentlichten Erklärung schien Yahoo Halls Feststellung zu bestätigen, dass Shellshock schuld war. Aber Stamos veröffentlichte später einen Beitrag in den Hacker News, der besagte, dass weitere Untersuchungen zeigten, dass Shellshock nicht die Ursache war.
Die Angreifer, schrieb Stamos, hatten ihren Exploit „mutiert“ und einen anderen Fehler ausgenutzt, der in einem Überwachungsskript enthalten war, das von den Entwicklern von Yahoo ausgeführt wurde, um Webprotokolle zu analysieren und zu debuggen. Dieser Fehler war nur für eine kleine Anzahl von Maschinen spezifisch, schrieb er.
"Wie Sie sich vorstellen können, hat diese Episode in unserem Team einige Verwirrung gestiftet, da die fraglichen Server unmittelbar nach der Veröffentlichung des Bash-Problems erfolgreich (zweimal !!) gepatcht wurden", schrieb er.
Hall schrieb, dass er eine E-Mail-Warnung an WinZip, eine Abteilung von Corel aus Kanada, gesendet habe. WinZip ist ein Dienstprogramm zur Dateikomprimierung.
In einer E-Mail-Erklärung am Montag ging WinZip-Sprecherin Jessica Gould nicht direkt auf Halls Ergebnisse ein, sondern sagte: „Wir wurden fast eine Woche nach Beginn unseres Patch-Prozesses von Mr. Hall kontaktiert. Wir haben Herrn Hall seitdem direkt geantwortet, um ihm für die Kontaktaufnahme zu danken. “
Hall schrieb in seinem Blog, dass die Server von WinZip anscheinend mit Shellshock kompromittiert wurden. Diese Server wurden dann verwendet, um nach anderen anfälligen Webservern zu suchen. Der Schadcode auf den Servern von WinZip, der mit einem IRC-Server verbunden ist und auf Befehle der Hacker wartet.
(Zach Miners in San Francisco hat zu diesem Bericht beigetragen.)
Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.
