羅馬尼亞駭客原本利用Shellshock漏洞在網路上建立殭屍網路,也找上了雅虎伺服器。結果不小心打中的是Yahoo Sport API伺服器上一個類似於Bash Sell漏洞的內部Web Log工具瑕疵。

安全研究人員,同時也是安全公司Future South總裁Jonathan Hall發現,包含雅虎在內的伺服器遭到羅馬尼亞駭客利用Shellshock漏洞進行攻擊,不過雅虎方面則指被入侵的伺服器並無Shellshock漏洞。

Hall監控到一個羅馬尼亞組織利用Shellshock及其他漏洞在Unix主機上建立僵屍網路,並利用IRC channel傳送指令給受影響的主機。受影響的主機包括Yahoo! Network、Lycos及Winzip.com等。

Hall說明,他一開始是在Google上搜尋還未修補Shellshock漏洞的主機,發現WinZip.com被駭客用於追蹤其他未修補的伺服器。他循線發現,羅馬尼亞駭客已入侵雅虎伺服器,並開始準備入侵廣受歡迎的Yahoo! Games伺服器。

發現問題後Hall除了向FBI通報,也聯絡雅虎、甚至以電子郵件、Twitter聯繫雅虎CEO Marissa Mayer。在給雅虎的信件中,他明白指出雅虎兩個受影響的主機位置及他追蹤的方法,但雅虎並沒有回應。

雅虎發言人首先對媒體表示,該公司的確發現3台伺服器遭駭客經由Shellshock漏洞攻擊入侵。不過後來雅虎資安長Alex Stamos隨後澄清,駭客攻擊的並非Shellshock漏洞。他指出,Yahoo Sport API 3台伺服器在周末遭到試圖尋找Shellshock的駭客攻擊,駭客修改了攻擊手法,繞過IDS/IDP系統或網頁防火牆,且剛好命中Sports團隊用來分析Web log並除錯的描述語言中的一個指令插入(command injection)瑕疵。Stamos表示,這項瑕疵只限於少數幾台機器,且已經修補,並將其特徵加入該公司程式碼掃瞄工具中,以強化未來防範。

Stamos聲稱,早在Shellshock等Bash弱點公佈後,雅虎即已立即並成功修補,而雅虎在發現入侵時將受影響的主機隔離,經研究發現並非一開始以為的Shellshock漏洞攻擊。如同第一次雅虎公關的說詞,他再次強調沒有使用者資料在這次入侵中遭到竊取。

對於研究人員的指控,Stamos說明,雅虎相當重視外部安全通報,24x7監控Bug Bounty (bugbounty.yahoo.com) 及安全服務信箱(security@yahoo.com),並且對可信的消息立即回應。而他們在CEO接獲信件後一小時內即已隔離系統及啟動調查。

九月底揭露的Shellshock漏洞存在於UNIX平台被廣泛使用的Bash Shell,該漏洞可能讓駭客遠端執行惡意程式,影響GNU、Linux及Mac OS等基於UNIX的各種作業系統。有資安業者認為,此一被稱為Shell Shock的漏洞影響程度可能更甚於Heartbleed。(編譯/林妍溱)

 

熱門新聞

Advertisement