Yahoo! descubre un ataque a sus servidores mientras trataba de protegerse de ShellShock

En medio del caos generado por ShellShock, las compañías de Internet de todo el mundo están revisando sus servidores para asegurarse de que estén libres de ataques que afecten la vulnerabilidad en Bash. Yahoo! Es una de ellas y en su investigación ha descubierto otra amenaza que, si bien no es de ShellShock, ha comprometido por lo menos dos de sus servidores.

ShellShock es una vulnerabilidad en Bash con más de 20 años de antigüedad cuyo descubrimiento se hizo público solo hace dos semanas. Los atacantes no tardaron en buscar el modo de comenzar a explotarla y su potencial de expansión es tan peligroso que los expertos creen que podría llegar a ser más peligrosa que Heartbleed, por lo que los administradores de sistemas de todo el mundo se están esforzando por instalar los parches y verificar que sus sistemas no estén comprometidos.

Yahoo, en particular, se encontraba en la mira de la comunidad de Internet a causa de un informe de la compañía Future South Technologies que decía que sus servidores estaban abiertos a la vulnerabilidad y los atacantes la estaban explotando. El informe también apuntaba a Lycos, que negó las acusaciones y WinZip, que confirmó que el problema le estaba afectando.

Yahoo revisó sus servidores y encontró una anormalidad que, a primera vista y considerando el contexto, parecía una amenaza de ShellShock. Pero Alex Stamos, el jefe de seguridad de Yahoo, aclaró la situación: “Hace poco informamos que habíamos detectado algunos servidores comprometidos por una falla de seguridad”, explicó. “Después de una investigación más profunda, resulta que los servidores no están afectados por ShellShock”.

“Atacantes que buscaban servidores vulnerables a ShellShock estaban ejecutando códigos maliciosos en tres de nuestros servidores Sports API este fin de semana”, dijo Stamos. “Los atacantes habían alterado su exploit, tal vez para burlar los filtros IDS/IDP. Esta mutación encajó a la perfección con una falla de inyección de comandos en un script de vigilancia que nuestro equipo de Sport estaba usando en ese momento para hacer un análisis sintáctico y depurar sus registros web”.

“Como puedes imaginar, la situación confundió a nuestro equipo, ya que los servidores en cuestión habían sido parchados (¡dos veces!) tan pronto como el problema en Bash se hizo público”, dijo Stamos, y aseguró que todavía no han encontrado evidencias que indiquen que los atacantes han comprometido algún otro servidor o hayan tenido acceso a datos de los usuarios.

Fuentes:

Yahoo: Server Attack Not Shellshock PC Magazine
Yahoo confirms servers infected — but not by Shellshock ZDNet
Yahoo says attack wasn’t Shellshock Cnet News