Tin An Ninh Mạng

Yahoo phủ nhận bị khai thác qua lỗ hổng Shellshock

hacker 3
Yahoo cho biết vào ngày thứ hai (07/10) về việc đã vá lỗi bị hiểu nhầm là Shellshock. Không có dữ liệu của người dùng bị ảnh hưởng.

{

}

1490893087Yahoo Messenger Logo.jpg

Người đứng đầu về an ninh mạng của Yahoo, ông Alex Stamos cho biết: “Cuối tuần qua, ba server với giao diện lập trình ứng dụng (API) cung cấp dịch vụ truyền hình trực tuyến về Thể thao của Yahoo bị tin tặc thực thi mã độc”.

Cũng theo Stamos, các server này đều đã được vá sau khi lỗ hổng Shellshock được phát hiện.

Yahoo nhận được thông tin từ chuyên gia Jonathan Hall của hãng tư vấn an ninh mạng Future South Technologies. Hall viết trên blog của mình về việc phát hiện lỗ hổng trên ít nhất 2 server của Yahoo.

Hall cho biết ông đã phát hiện bằng chứng cho thấy một nhóm có vẻ như là hacker Rumani tấn công vào Yahoo, Lycos và WinZip, thông qua lỗ hổng Shellshock để lây nhiễm các server và xây dựng botnet.

Lỗ hổng Shellshock trên lõi Bash của Unix và Linux được phát hiện lần đầu tiên vào cuối tháng trước, có thể cho phép tin tặc chèn thêm đoạn mã vào các máy chạy Bash để kiểm soát server từ xa.

Yahoo dường như đã xác nhận phát hiện của Hall về lỗ hổng Shellshock khi trả lời Hall vào sớm ngày thứ hai. Tuy nhiên, sau đó chuyên gia Stamos của hãng đăng một bài viết chính thức trên Hacker News về việc kết quả điều tra thêm cho thấy Shellshock không phải là nguyên nhân trong vụ việc.

Stamos cho biết, các tin tặc đã thay đổi cách khai thác và chuyển sang lợi dụng lợi dụng một lỗ hổng không phải Shellshock trong script kiểm soát mà các nhà phát triển của Yahoo sử dụng để phân tích và debug lịch sử truy cập Web server. Lỗ hổng này chỉ tồn tại trên một số ít các thiết bị.

Do các server nói trên đã được vá thành công (tận hai lần) ngay sau khi vấn đề về Bash được đưa ra nên ban đầu chúng tôi đã hoang mang khi nhận được thông báo về việc liên quan đến lỗ hổng Shellshock”, Stamos cho biết.

Về phía Hall, ông cho biết đã gửi email cảnh báo tới WinZip, một chi nhánh của Corel tại Canada.

Trong email gửi đi vào thứ Hai, đại diện Jessica Gould của WinZip không trực tiếp nhắc đến phát hiện của Hall nhưng cho biết “Gần một tuần sau khi chúng tôi bắt đầu chương trình vá lỗi thì nhận được thông báo từ ông Hall đã liên lạc. Chúng tôi đã hồi đáp ngay sau đó để cảm ơn ông Hall vì đã liên lạc”.

Hall viết trong bài blog rằng có vẻ như các server của WinZip đã bị xâm nhập qua lỗ hổng Shellshock. Những server này sau đó được sử dụng để tìm kiếm các máy chủ web có lỗ hổng khác. Đoạn mã độc trên các server của WinZip kết nối đến một máy chủ IRC, là nơi chờ lệnh từ tin tặc.

Nguồn: PCWorld

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !