Bash-Lücke: Server von Yahoo, Winzip und Lycos gehackt

Mehrere Server von Yahoo sind offenbar gehackt worden. Das berichtet der IT-Sicherheitsexperte Jonathan Hall auf der Webseite Reddit. Demnach befanden sich offenbar mindestens zwei Server von der Spieleplattform Yahoo Games in der Hand von Hackern, die vermutlich aus Rumänien stammen. Anders als zunächst angenommen lag der Hack wohl nicht an der Shellshock-Lücke in Bash.

Laut der Beschreibung von Hall, die er auf der Webseite seiner Firma Future South veröffentlicht hat, begann er nach der Entdeckung von Shellshock, mittels Google-Anfragen CGI-Skripte zu suchen, die potenziell für Shellshock anfällig sind. (Die Seite von Future South ist zurzeit sehr schlecht erreichbar, eine Kopie der Beschreibung findet sich im Google-Cache).

Nach einigen Versuchen fand Hall heraus, dass der Server des Packprogramms Winzip verwundbar war. Hall öffnete mittels Shellshock eine Remoteshell und fand heraus, dass er offenbar nicht der Einzige war, der diese Sicherheitslücke offen vorfand. Auf dem Winzip-Server liefen bereits in Perl geschriebene Skripte von IRC-Bots, die auf Hacks hinwiesen. Der Code eines dieser Bots war in rumänischer Sprache kommentiert. Durch eine nähere Analyse fand Hall heraus, dass dieser Bot mit anderen Servern kommunizierte, darunter befanden sich Server von Lycos und Yahoo. Hall gelang es, sich auf diese Server ebenfalls einzuloggen, auf mindestens zwei Yahoo-Servern hatten die vermutlich rumänischen Hacker offenbar Root-Zugriff.

Auf Anfrage von Golem.de hatte Yahoo bestätigt, dass einige Server kompromittiert wurden. Das Unternehmen habe jedoch keine Hinweise darauf, dass Nutzerdaten davon betroffen seien.

Der für die IT-Sicherheit bei Yahoo verantwortliche Alex Stamos hat inzwischen auf Hacker News den Vorfall erklärt. Demnach ereignete sich der Hack offenbar auf sehr ungewöhnliche Weise. Die betroffenen Rechner hatten bereits Updates für die Shellshock-Lücke erhalten. Trotzdem funktionierte der Exploit-Code, mit dem der Shellshock-Server hackbar war. Ein Tool, das Yahoo zur Überwachung der Logdateien verwendete, sprang auf den entsprechenden Exploit-Code an und erlaubte ein Eindringen in die Server.

Hall versuchte offenbar auf verschiedenen Wegen, Yahoo über den Vorfall zu informieren. Erst als Hall Medien und das FBI informierte, reagierte Yahoo. Yahoo antwortete Hall und entschuldigte sich für die Schwierigkeiten bei der Erreichbarkeit. Vorfälle wie dieser seien, so Yahoo, nicht Teil des Bug-Bounty-Programms des Konzerns. Das führte auf Reddit zu einigen sarkastischen Kommentaren und den Verweis auf einen früheren Fall, bei dem ein Sicherheitsforscher von Yahoo einen 25-Dollar-Gutschein für die Entdeckung mehrerer kritischer Sicherheitslücken erhielt.

Stamos widerspricht Halls Darstellung. Hall habe nicht versucht, Yahoo über deren Security-Kontaktadresse zu erreichen. Die Kontaktadresse security@yahoo.com werde permanent gelesen, ebenso Bericht,e die über das Bug-Bounty-Programm eingereicht werden. Eine Stunde, nachdem Hall an Yahoos CEO Marissa Mayer eine Mail geschrieben hatte, habe man die entsprechenden Server vom Netz genommen, so Stamos.

Ob die Hacks von Lycos und Winzip über Shellshock erfolgen, ist bislang nicht klar, es ist aber wohl davon auszugehen. Die spezielle Lücke im Yahoo-Monitoring dürfte nur dort vorhanden sein.

Nachtrag vom 07. Oktober 2014, 09:47 Uhr

Ursprünglich hatten wir berichtet, der Yahoo-Hack sei mittels der Shellshock-Lücke durchgeführt worden. Das ist einem Statement von Yahoo-Sicherheitschef Alex Stamos zufolge falsch. Wir haben Text und Überschrift entsprechend angepasst.