摘要:雅虎今天宣布,虽然黑客攻破了该公司的三台电脑服务器,但并未利用Shellshock安全漏洞发起攻击,因此收回了当天早些时候发布的声明。

黑客利用 Shellshock 漏洞攻击雅虎?虚惊一场!-速客网

罗马尼亚黑客试图利用 Shellshock 漏洞在 Unix 主机上建立僵尸网络,并用以入侵雅虎服务器。原先雅虎以为是主机有 Shellshock 漏洞而遭受攻击,雅虎安全研究人员调查之后发现,其实黑客侵入的是雅虎公司 Web log 除错工具一个刚好与 Bash Shell 一样有「指令插入」瑕疵的漏洞。

九月底揭露的 Shellshock 漏洞存在于UNIX平台被广泛使用的 Bash Shell,该漏洞可能让黑客远程执行恶意程式,影响 GNU、Linux 及 Mac OS 等基于 UNIX 的各种操作系统。有信息安全行业人员认为,此一被称为 Shell Shock 的漏洞影响程度可能更甚于 Heartbleed(心脏流血)漏洞

罗马尼亚黑客原本利用 Shellshock 漏洞在网络上建立僵尸网路,也找上了雅虎服务器。结果不小心打中的是 Yahoo Sport API 服务器上一个类似于 Bash Sell 漏洞的内部 Web Log 工具瑕疵。

黑客利用 Shellshock 漏洞攻击雅虎?虚惊一场!-速客网

安全专家,同时也是安全公司 Future South 总裁 Jonathan Hall 发现,包含雅虎在内的服务器遭到罗马尼亚黑客利用 Shellshock 漏洞进行攻击,不过雅虎方面则指被入侵的服务器并无 Shellshock 漏洞。

Hall 监控到一个罗马尼亚组织利用 Shellshock 及其他漏洞在 Unix 主机上建立僵尸网络,并利用 IRC channel 传送指令给受影响的主机。受影响的主机包括 Yahoo! Network、Lycos 及 Winzip.com 等。

Hall 说明,他一开始是在 Google 上搜索还未修补 Shellshock 漏洞的主机,发现 WinZip.com 被黑客用于追踪其他未修补的服务器。他循线发现,罗马尼亚黑客已入侵雅虎服务器,并开始准备入侵广受欢迎的 Yahoo! Games 服务器。

发现问题后,Hall 除了向FBI通报,随后以电子邮件、Twitter 联系雅虎安全部门及 CEO Marissa Mayer ,并在自己的博客上公布了此事。他明白指出雅虎两个受影响的主机位置及他追踪的方法,但雅虎并没有回应。

黑客利用 Shellshock 漏洞攻击雅虎?虚惊一场!-速客网

雅虎发言人首先对媒体表示,该公司的确发现3台服务器遭骇客经由Shellshock漏洞攻击入侵。不过后来雅虎首席信息安全官亚历克斯·斯塔莫斯(Alex Stamos)随后澄清,黑客攻击的并非Shellshock漏洞。他指出,Yahoo Sport API 3台服务器在周末遭到试图寻找 Shellshock 的黑客攻击,黑客修改了攻击手法,绕过 IDS/IDP 系统或网页防火墙,且刚好命中 Yahoo Sports 团队用来分析 Web log 并除错的描述语言中的一个指令插入(command injection)瑕疵。 斯塔莫斯表示,这项瑕疵只限于少数几台机器,且已经修补,并将其特征加入该公司程式码扫瞄工具中,以强化未来防范。

斯塔莫斯声称,早在 Shellshock 等 Bash Shell 弱点公布后,雅虎即已立即并成功修补,而雅虎在发现入侵时将受影响的主机隔离,经研究发现并非一开始以为的 Shellshock 漏洞攻击。如同第一次雅虎公关的说法,他再次强调没有用户资料在这次入侵中遭到窃取。

对于安全专家的指控,斯塔莫斯说明,雅虎相当重视外部安全通报,24x7监控Bug Bounty (bugbounty.yahoo.com) 及安全服务信箱(security@yahoo.com),并且对可信的消息立即回应。而他们在CEO接获信件后一小时内即已隔离系统及启动调查。

“我们了解此事后便开始修复系统,并且一直在密切监控我们的网络。”雅虎发言人艾丽莎·徐(Elisa Shyu)说,“我们致力于为全球用户提供最安全的体验,并将继续保护我们的用户数据。”

Via iThome

历史上的今天:

  1. 2017:  不敌 Facebook 20岁的即时消息鼻祖 AIM 将于12月15日关闭(0)
  2. 2017:  “半个世界”都泄密了!雅虎宣布30亿个用户信息被盗(4)
  3. 2016:  雅虎黑客事件发酵:传 Verizon 要求收购价降10亿美元(0)
  4. 2015:  Yahoo 奇摩影音流量翻倍,移动影音增长近10倍(3)
  5. 2013:  互联网帝国时代:雅虎占据日本和台湾(12)