Yahoo nie było zhakowane Shellshockiem

dodał 7 października 2014 o 10:01 w kategorii Drobiazgi  z tagami:

Wczoraj media doniosły, że serwery Yahoo zostały zhakowane za pomocą podatności w bashu, zwanej Shellshock. Yahoo jeszcze do niedawna nie miało zbyt dobrej opinii w kwestiach bezpieczeństwa oprogramowania, jednak niezałatanie tak znanej podatności na serwerach produkcyjnych wydawało się nam lekko dziwne. Pomyśleliśmy wtedy „cóż, zdarza się nawet najlepszym”.

Okazuje się jednak, że choć exploit atakował podatności Shellshock, to wcale nie przez nie doszło do wykonania kodu.

Tweet Alexa Stamosa

Tweet Alexa Stamosa

Jak wyjaśnia CISO Yahoo Alex Stamos, atakujący, którzy faktycznie dostali się do trzech serwerów API, mieli dużo szczęścia. Wersja ataku na Shellshock, z której korzystali, została specjalnie przygotowana tak, by omijać ewentualne filtry. Przez zbieg okoliczności okazało się, że akurat ta składnia ataku, która trafiła do logów httpd, zadziałała na skryptach używanych do analizy logów serwera. Był to zatem dość przypadkowy incydent, który pokazuje jak bardzo złożone są kwestie zapewnienia bezpieczeństwa. Nawet serwery załatane pod kątem Shellshocka okazały się podatne na atak w niego wycelowany – choć z zupełnie innego powodu. Jest to tez dobra lekcja dla pentesterów – to, że Twój exploit działa, wcale nie oznacza, że działa on tak, jak przewidziałeś.

Aktualizacja 2014-10-08
Autor odkrycia twierdzi w ripoście, ze Yahoo kłamie, ale w naszej ocenie nie przedstawia żadnych dowodów na prawdziwość swoich twierdzeń.