羅馬尼亞駭客利用Shellshock漏洞入侵雅虎，不小心打中Web log 漏洞

安全研究人員，同時也是安全公司Future South總裁Jonathan Hall發現，包含雅虎在內的伺服器遭到羅馬尼亞駭客利用Shellshock漏洞進行攻擊，不過雅虎方面則指被入侵的伺服器並無Shellshock漏洞。

Hall監控到一個羅馬尼亞組織利用Shellshock及其他漏洞在Unix主機上建立僵屍網路，並利用IRC channel傳送指令給受影響的主機。受影響的主機包括Yahoo! Network、Lycos及Winzip.com等。

Hall說明，他一開始是在Google上搜尋還未修補Shellshock漏洞的主機，發現WinZip.com被駭客用於追蹤其他未修補的伺服器。他循線發現，羅馬尼亞駭客已入侵雅虎伺服器，並開始準備入侵廣受歡迎的Yahoo! Games伺服器。

發現問題後Hall除了向FBI通報，也聯絡雅虎、甚至以電子郵件、Twitter聯繫雅虎CEO Marissa Mayer。在給雅虎的信件中，他明白指出雅虎兩個受影響的主機位置及他追蹤的方法，但雅虎並沒有回應。

雅虎發言人首先對媒體表示，該公司的確發現3台伺服器遭駭客經由Shellshock漏洞攻擊入侵。不過後來雅虎資安長Alex Stamos隨後澄清，駭客攻擊的並非Shellshock漏洞。他指出，Yahoo Sport API 3台伺服器在周末遭到試圖尋找Shellshock的駭客攻擊，駭客修改了攻擊手法，繞過IDS/IDP系統或網頁防火牆，且剛好命中Sports團隊用來分析Web log並除錯的描述語言中的一個指令插入（command injection）瑕疵。Stamos表示，這項瑕疵只限於少數幾台機器，且已經修補，並將其特徵加入該公司程式碼掃瞄工具中，以強化未來防範。

Stamos聲稱，早在Shellshock等Bash弱點公佈後，雅虎即已立即並成功修補，而雅虎在發現入侵時將受影響的主機隔離，經研究發現並非一開始以為的Shellshock漏洞攻擊。如同第一次雅虎公關的說詞，他再次強調沒有使用者資料在這次入侵中遭到竊取。

對於研究人員的指控，Stamos說明，雅虎相當重視外部安全通報，24x7監控Bug Bounty （bugbounty.yahoo.com） 及安全服務信箱（security@yahoo.com），並且對可信的消息立即回應。而他們在CEO接獲信件後一小時內即已隔離系統及啟動調查。

九月底揭露的Shellshock漏洞存在於UNIX平台被廣泛使用的Bash Shell，該漏洞可能讓駭客遠端執行惡意程式，影響GNU、Linux及Mac OS等基於UNIX的各種作業系統。有資安業者認為，此一被稱為Shell Shock的漏洞影響程度可能更甚於Heartbleed。（編譯/林妍溱）