駭客利用Shellshock漏洞入侵雅虎,不小心打中Web log漏洞

羅馬尼亞駭客利用Shellshock漏洞入侵雅虎,不小心打中Web log漏洞

安全研究人員,同時也是安全公司Future South總裁Jonathan Hall發現,包含雅虎在內的伺服器遭到羅馬尼亞駭客利用Shellshock漏洞進行攻擊,不過雅虎方面則指被入侵的伺服器並無Shellshock漏洞。

Hall監控到一個羅馬尼亞組織利用Shellshock及其他漏洞在Unix主機上建立僵屍網路,並利用IRC channel傳送指令給受影響的主機。受影響的主機包括Yahoo! Network、Lycos及Winzip.com等。

Hall說明,他一開始是在Google上搜尋還未修補Shellshock漏洞的主機,發現WinZip.com被駭客用於追蹤其他未修補的伺服器。他循線發現,羅馬尼亞駭客已入侵雅虎伺服器,並開始準備入侵廣受歡迎的Yahoo! Games伺服器。

發現問題後Hall除了向FBI通報,也聯絡雅虎、甚至以電子郵件、Twitter聯繫雅虎CEO Marissa Mayer。在給雅虎的信件中,他明白指出雅虎兩個受影響的主機位置及他追蹤的方法,但雅虎並沒有回應。

雅虎發言人首先對媒體表示,該公司的確發現3台伺服器遭駭客經由Shellshock漏洞攻擊入侵。不過後來雅虎資安長Alex Stamos隨後澄清,駭客攻擊的並非Shellshock漏洞。他指出,Yahoo Sport API 3台伺服器在周末遭到試圖尋找Shellshock的駭客攻擊,駭客修改了攻擊手法,繞過IDS/IDP系統或網頁防火牆,且剛好命中Sports團隊用來分析Web log並除錯的描述語言中的一個指令插入(command injection)瑕疵。Stamos表示,這項瑕疵只限於少數幾台機器,且已經修補,並將其特徵加入該公司程式碼掃瞄工具中,以強化未來防範。

Stamos聲稱,早在Shellshock等Bash弱點公佈後,雅虎即已立即並成功修補,而雅虎在發現入侵時將受影響的主機隔離,經研究發現並非一開始以為的Shellshock漏洞攻擊。如同第一次雅虎公關的說詞,他再次強調沒有使用者資料在這次入侵中遭到竊取。


Yahoo使用的防火牆,絕對不可能是幾萬塊錢$$的爛貨!很顯然,再怎樣高級的防火牆,也很難絕對防堵駭客!

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏