De CISO van Yahoo, Alex Stamos, stelt op Hacker News dat aanvallers op een specifieke scriptbug zijn gestuit, op hetzelfde moment dat ze zochten naar een Bash-kwetsbaarheid. De hackers hadden hun exploit aangepast om langs de Intrustion Detection te glippen en met deze nieuwe exploit werd een code-injectie uitgevoerd op een monitoringsscript op een API-server.

Exploit niet voor déze bug

Het resultaat is natuurlijk hetzelfde: kwaadwillenden zijn binnengekomen - slechte zaak. Maar het gaat volgens de internetreus niet om een Shellshock-bug, in tegenstelling tot eerdere berichten - inclusief een bevestiging van Yahoo zelf. De inbraak leidde tot verwarring bij het beveiligingsteam van Yahoo, dat dacht al lang en breed gepatcht te zijn voor aanvallen via Bash.

"Laat dit een les zijn voor beveiligers en aanvallers: dat exploitcode werkt, betekent niet dat de bug die je verwachtte is aangesproken", schrijft Stamos. De aangevallen server was een API-server die verantwoordelijk is voor het livestreamen van gamedata naar de Yahoo Sports-frontend. Volgens Yahoo zijn daarbij geen gebruikersgegevens gestolen.

Lees verder over de Bash-bug op Computerworld: Pas op: Shellshock blijft maandenlang etteren.