Yahoo dit que les attaquants à la recherche de Shellshock ont ​​trouvé un bogue différent

Yahoo a déclaré lundi qu'il avait corrigé un bug qui était confondu avec la faille Shellshock, mais aucune donnée utilisateur n'a été affectée.

Trois des serveurs de la société dotés d'API (interfaces de programmation d'applications) qui fournissent la diffusion en direct de son service Sports "avaient du code malveillant exécuté sur eux ce week-end par des attaquants à la recherche de serveurs Shellshock vulnérables", a écrit Alex Stamos, directeur de la sécurité des informations de Yahoo..

Stamos a écrit sur le site Web de Hacker News que les serveurs avaient été corrigés après la révélation de la vulnérabilité Shellshock.

Yahoo a été informé par Jonathan Hall, ingénieur principal et président de Future South Technologies, une société de conseil en sécurité. Hall a écrit sur son blog qu'il avait découvert une vulnérabilité dans au moins deux serveurs Yahoo.

Hall a écrit qu'il avait trouvé des preuves qu'un groupe de pirates informatiques roumains avait frappé Yahoo, Lycos et WinZip, en utilisant la vulnérabilité Shellshock pour infecter des serveurs et construire un botnet, le terme pour un réseau de machines infectées.

Shellshock, identifié pour la première fois à la fin du mois dernier, est le surnom d'une faille dans une forme de logiciel connue sous le nom de Bash, un processeur shell en ligne de commande sur les systèmes Unix et Linux. Le trou de sécurité pourrait permettre aux attaquants d'insérer du code supplémentaire dans les ordinateurs exécutant Bash, leur permettant de prendre le contrôle des serveurs à distance.

Dans une déclaration publiée plus tôt lundi, Yahoo a semblé confirmer la conclusion de Hall selon laquelle Shellshock était à blâmer. Mais Stamos a publié plus tard un article sur le Hacker News disant qu'une enquête plus approfondie a montré que Shellshock n'était pas la cause.

Les attaquants, a écrit Stamos, avaient «muté» leur exploit et ont fini par profiter d'un bogue différent qui se trouvait dans un script de surveillance exécuté par les développeurs de Yahoo pour analyser et déboguer les journaux Web. Ce bug n'était spécifique qu'à un petit nombre de machines, écrit-il.

"Comme vous pouvez l'imaginer, cet épisode a causé une certaine confusion dans notre équipe, car les serveurs en question avaient été correctement patchés (deux fois !!) immédiatement après que le problème Bash soit devenu public", a-t-il écrit.

Hall a écrit qu'il avait envoyé un avertissement par courriel de ses conclusions à WinZip, une division de Corel basée au Canada. WinZip est un utilitaire de compression de fichiers.

Dans une déclaration par courrier électronique lundi, la porte-parole de WinZip, Jessica Gould, n'a pas directement abordé les conclusions de Hall, mais a déclaré: «Nous avons été contactés par M. Hall près d'une semaine après le début de notre processus de correction. Depuis, nous avons directement répondu à M. Hall pour le remercier de nous avoir contactés. »

Hall a écrit sur son blog qu'il semblait que les serveurs de WinZip avaient été compromis en utilisant Shellshock. Ces serveurs étaient ensuite utilisés pour rechercher d'autres serveurs Web vulnérables. Le code malveillant sur les serveurs de WinZip connectés à un serveur IRC, où il attend les commandes des pirates.

(Zach Miners à San Francisco a contribué à ce rapport.)

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.