雅虎确认被攻击,但不是由于 Shellshock

阅读数:591 2014 年 10 月 9 日

话题:语言 & 开发架构

Jonathan Hall 是安全公司 Future South Technologies 的高级工程师。在本周早些时候发布的一份报告中,他说黑客利用 Shellshock Bug 攻击了雅虎的系统。Shellshock是 Bash 中一个严重的漏洞,允许黑客在未经授权的情况下以合法用户的身份执行代码和命令。InfoQ 对此有过专门报道

ZDNet 报道,雅虎已经确认受到了攻击。但是,在 Hacker News 的一篇博文中,雅虎首席安全官 Alex Stamos 反驳了 Hall 的说法。据他说,在对受攻击情况进行了全面调查后,他们发现,服务器并没有受到 Shellshock 的影响。他写道,攻击者上周末在雅虎的三台 Sports API 服务器执行过恶意代码,用于寻找易受攻击的 Shellshock 服务器。但他们突然改变了攻击方式,可能是为了绕过 IDS/IDP 或者 WAF 过滤器。而这一改变正好利用了 Sports 团队正在使用的一个监控脚本中存在的命令行注入 Bug。

同时,Alex 还指出,在受到攻击后,雅虎迅速隔离了这些服务器,而且受影响的服务器只是用于提供体育比赛的现场直播,并不存储用户数据。因此,目前没有证据表明有用户数据受到影响。与此同时,为了及时发现并处理未来可能出现的问题,他们已经将攻击模式添加到 CI/CD 代码扫描器中。

此外,Hall 声称曾多次尝试联系过雅虎,但没有得到回应。Stamos 否认了他的这一说法。


感谢郭蕾对本文的审校。

给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。