Alfonso Maruccia

Shellshock, compromessi i server di Yahoo e WinZip

Un ricercatore di sicurezza si imbatte nei server compromessi di aziende tecnologiche di primo piano, e colpevole sarebbe la vulnerabilitÓ in Bash. Yahoo ringrazia, ma spiega che in realtÓ il baco Ŕ un altro

Roma - La crisi Shellshock si evolve sempre più in un problema di sicurezza concreto, con i primi server di alto profilo a cadere vittima di ignoti cyber-criminali impegnati a sfruttare la vulnerabilità in Bash già classificata come un problema molto più pericoloso dell'"apocalittico" baco Heartbleed.

L'allarme sulle (prime?) compromissioni certe di alto profilo a mezzo Shellshock arriva da Jonathan Hall, ex-hacker black hat ora convertitosi alla consulenza informatica che si è trovato davanti a una serie di "sondaggi" sui suoi sistemi provenienti da server compromessi.

I sondaggi erano alla ricerca della vulnerabilità nota come Shellshock, ha spiegato Hall, con gli script malevoli che provenivano dai sistemi appartenenti a Yahoo, WinZip e Lycos. Il ricercatore ha invidiato uno script in Perl nella directory cgi-bin di uno dei server, accanto a un bot IRC con capacità di DDoS ma usato solo per provare a guadagnare l'accesso indiscriminato alla Shell delle macchine del ricercatore tramite la vulnerabilità Shellshock.
I commenti nel codice individuato sui server compromessi sono in rumeno, quindi l'ipotesi di Hall è che i cracker siano originari della Romania. Il ricercatore ha avvertito sia le aziende coinvolte che l'FBI, con quest'ultima che si è detta pronta a indagare sull'accaduto.

Una prima risposta di Yahoo alle mail di Hall sembrava confermare l'ipotesi Shellshock, ma in seguito la corporation è tornata sull'accaduto circostanziando meglio i fatti: i cyber-criminali che hanno compromesso i server aziendali erano sì alla ricerca di un baco di tipo Shellshock, ma alla fine hanno individuato e sfruttato un bug diverso per impiantare il loro codice malevolo. Shellshock è già stato patchato due volte e i dati degli utenti sono al sicuro, ha confermato Yahoo.

La scoperta della vulnerabilità in Bash ha reso i tentativi di attacco alle shell di comando l'attività di cracking e di ricerca più in voga, e c'è qualcuno che ha provato ad applicare gli stessi principi di Shellshock anche agli ambienti Windows, teoricamente immuni al problema: il rischio, in questo caso, è molto ridotto e solo un hacker particolarmente determinato (e fortunato) potrebbe ottenere qualche risultato concreto come l'accesso a un server di file.

Alfonso Maruccia
Notizie collegate
  • SicurezzaShellshock, ancora patch e allarmiApple rilascia la giÓ preannunciata patch per chiudere la falla di Bash sui sistemi OS X, mentre le societÓ di sicurezza evidenziano il crescente interesse dei cyber-criminali per la vulnerabilitÓ. Al confronto, Heartbleed era uno scherzo
10 Commenti alla Notizia Shellshock, compromessi i server di Yahoo e WinZip
Ordina
  • "Shellshock, compromessi i server di Yahoo"
    "hanno individuato e sfruttato un bug diverso per impiantare il loro codice malevolo"

    Il titolo è illogico. Viene smentito dall'articolo stesso Deluso
    non+autenticato
  • - Scritto da: contrario alla policy
    > "Shellshock, compromessi i server di Yahoo"
    > "hanno individuato e sfruttato un bug diverso per
    > impiantare il loro codice
    > malevolo"
    >
    > Il titolo è illogico. Viene smentito
    > dall'articolo stesso
    >Deluso
    ehhehe... l'apparente nonsense deriva dal fatto che l'omino che si e' messo a scansionare internet per trovare roba buggata, ha concluso che fosse shellshock. E yahoo ha detto "no, e' altro". L'omino tra l'altro non ci crede neanche. yahoo cmq conferma la violazione di alcuni server.
    non+autenticato
  • > yahoo cmq conferma la violazione di alcuni
    > server.

    Confermando la violazione e dando la colpa a un loro proprio script fatto in casa si prendono tutta la colpa peggiorando le cose e senza poter fare gli scarica barile. Quindi hanno detto la verità.
    non+autenticato
  • - Scritto da: contrario alla policy
    > > yahoo cmq conferma la violazione di alcuni
    > > server.
    >
    > Confermando la violazione e dando la colpa a un
    > loro proprio script fatto in casa si prendono
    > tutta la colpa peggiorando le cose e senza poter
    > fare gli scarica barile. Quindi hanno detto la
    > verità.
    Oppure ammettere che erano insieme a tutti i grandissimi sysadminchiam che NON sanno usare linu$A bocca aperta
    non+autenticato
  • > Confermando la violazione e dando la colpa a un
    > loro proprio script fatto in casa si prendono
    > tutta la colpa peggiorando le cose e senza poter
    > fare gli scarica barile. Quindi hanno detto la
    > verità.

    Invece dicendo a tutti di non aver patchato una falla nota da settimane avrebbero fatto una figura migliore.
    non+autenticato
  • - Scritto da: contrario alla policy
    > "Shellshock, compromessi i server di Yahoo"
    > "hanno individuato e sfruttato un bug diverso per
    > impiantare il loro codice
    > malevolo"
    >
    > Il titolo è illogico. Viene smentito
    > dall'articolo stesso
    >Deluso

    Beh, questo per Yahoo, però rimangono i casi di WinZip e Lycos (quest'ultimo citato nell'articolo linkato e stranamente non nell'articolo di PI ...).
    Che poi i server di Yahoo avessero pure un altro bug che gli attaccanti hanno trovato "mentre cercavano altro" mi sembra una cosa del tipo "pezo el tacon del buso" ...
    non+autenticato
  • Il ricercatore ha invidiato uno script in Perl nella directory cgi-bin...

    Ha individuato...
    non+autenticato
  • - Scritto da: pignolo
    > Il ricercatore ha invidiato uno script in Perl
    > nella directory
    > cgi-bin...

    >
    > Ha individuato...


    Forse era "ha inviato"???
    non+autenticato
  • - Scritto da: Piu pignolo..
    > - Scritto da: pignolo
    > > Il ricercatore ha invidiato uno script in
    > Perl
    > > nella directory
    > > cgi-bin...

    > >
    > > Ha individuato...
    >
    >
    > Forse era "ha inviato"???

    certamente no
    non+autenticato
  • - Scritto da: Piu pignolo..
    > - Scritto da: pignolo
    > > Il ricercatore ha invidiato uno script in
    > Perl
    > > nella directory
    > > cgi-bin...

    > >
    > > Ha individuato...
    >
    >
    > Forse era "ha inviato"???

    Se il ricercatore potesse "inviare" script nella directory cgi-bin (permesso di scrittura su server remoto!) la falla ci sarebbe, grande come una casa, e non servirebbe andare in cerca di Shellshock o altri bug...

    Era proprio perché invidiare poteva essere confuso con inviare che avevo scritto il primo commento... (tra l'altro l'articolo ancora non è stato corretto).
    non+autenticato