Yahoo dijo el lunes que corrigió un error que se confundió con la falla Shellshock, pero no se vio afectada la información de los usuarios.
Tres de los servidores de la compañía con API (interfaces de programación de aplicaciones) que proporcionan transmisión en vivo para su servicio de deportes "tenían código malicioso ejecutado en ellos este fin de semana por atacantes que buscan servidores Shellshock vulnerables", escribió Alex Stamos, director de seguridad de la información de Yahoo..
Stamos escribió en el sitio web de Hacker News que los servidores habían sido parcheados después de que se revelara la vulnerabilidad Shellshock.
Yahoo fue notificado por Jonathan Hall, ingeniero senior y presidente de Future South Technologies, una firma de consultoría de seguridad. Hall escribió en su blog que descubrió una vulnerabilidad en al menos dos servidores de Yahoo.
Hall escribió que encontró evidencia de que un grupo de lo que parecen ser hackers rumanos había atacado a Yahoo, Lycos y WinZip, utilizando la vulnerabilidad Shellshock para infectar servidores y construir una botnet, el término para una red de máquinas infectadas.
Shellshock, identificado por primera vez a fines del mes pasado, es el apodo de una falla en una forma de software conocido como Bash, un procesador de shell de línea de comandos en sistemas Unix y Linux. El agujero de seguridad podría permitir a los atacantes insertar código adicional en las computadoras que ejecutan Bash, permitiéndoles tomar el control de los servidores de forma remota.
En un comunicado publicado el lunes, Yahoo pareció confirmar el hallazgo de Hall de que Shellshock era el culpable. Pero más tarde, Stamos publicó una publicación en Hacker News diciendo que una investigación adicional mostró que Shellshock no era la causa..
Los atacantes, escribió Stamos, habían "mutado" su exploit y terminaron aprovechando un error diferente que estaba en un script de monitoreo que los desarrolladores de Yahoo ejecutaban para analizar y depurar registros web. Ese error solo era específico de un pequeño número de máquinas, escribió.
"Como pueden imaginar, este episodio causó cierta confusión en nuestro equipo, ya que los servidores en cuestión habían sido parcheados con éxito (¡dos veces!) Inmediatamente después de que el problema de Bash se hiciera público", escribió..
Hall escribió que envió un correo electrónico de advertencia de sus hallazgos a WinZip, una división de Corel con sede en Canadá. WinZip es una utilidad de compresión de archivos.
En un comunicado por correo electrónico el lunes, la portavoz de WinZip, Jessica Gould, no abordó directamente los hallazgos de Hall, pero dijo que "nos contactó el Sr. Hall casi una semana después de que comenzamos nuestro proceso de parches. Desde entonces hemos respondido directamente al Sr. Hall para agradecerle por contactarnos ”.
Hall escribió en su blog que parecía que los servidores de WinZip habían sido comprometidos con Shellshock. Esos servidores se estaban utilizando para buscar otros servidores web vulnerables. El código malicioso en los servidores de WinZip conectados a un servidor IRC, donde espera los comandos de los piratas informáticos.
(Los mineros de Zach en San Francisco contribuyeron a este informe).
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
