Bash-Lücke: Server von Yahoo, Winzip und Lycos gehackt

Offenbar sind mehrere Server von Yahoo gehackt worden, allerdings nicht wie zunächst berichtet durch die Shellshock-Lücke. Trotzdem war der Exploit-Code von Shellshock im Spiel. Auch Lycos und die Winzip-Webseite sind betroffen.

Artikel veröffentlicht am , Hanno Böck
Durch Shellshock gehackt: Server von Yahoo Games.
Durch Shellshock gehackt: Server von Yahoo Games. (Bild: Screenshot)

Mehrere Server von Yahoo sind offenbar gehackt worden. Das berichtet der IT-Sicherheitsexperte Jonathan Hall auf der Webseite Reddit. Demnach befanden sich offenbar mindestens zwei Server von der Spieleplattform Yahoo Games in der Hand von Hackern, die vermutlich aus Rumänien stammen. Anders als zunächst angenommen lag der Hack wohl nicht an der Shellshock-Lücke in Bash.

Stellenmarkt
  1. IT-Systemadministrator (m/w/d) mit Perspektive IT-Leiter (m/w/d)
    Wäschefabrik Kneer e.K., Westerheim
  2. Senior Science Manager / Innovation & Research Manager (m/w/d)
    HeiGIT gGmbH, Heidelberg
Detailsuche

Laut der Beschreibung von Hall, die er auf der Webseite seiner Firma Future South veröffentlicht hat, begann er nach der Entdeckung von Shellshock, mittels Google-Anfragen CGI-Skripte zu suchen, die potenziell für Shellshock anfällig sind. (Die Seite von Future South ist zurzeit sehr schlecht erreichbar, eine Kopie der Beschreibung findet sich im Google-Cache).

Nach einigen Versuchen fand Hall heraus, dass der Server des Packprogramms Winzip verwundbar war. Hall öffnete mittels Shellshock eine Remoteshell und fand heraus, dass er offenbar nicht der Einzige war, der diese Sicherheitslücke offen vorfand. Auf dem Winzip-Server liefen bereits in Perl geschriebene Skripte von IRC-Bots, die auf Hacks hinwiesen. Der Code eines dieser Bots war in rumänischer Sprache kommentiert. Durch eine nähere Analyse fand Hall heraus, dass dieser Bot mit anderen Servern kommunizierte, darunter befanden sich Server von Lycos und Yahoo. Hall gelang es, sich auf diese Server ebenfalls einzuloggen, auf mindestens zwei Yahoo-Servern hatten die vermutlich rumänischen Hacker offenbar Root-Zugriff.

Auf Anfrage von Golem.de hatte Yahoo bestätigt, dass einige Server kompromittiert wurden. Das Unternehmen habe jedoch keine Hinweise darauf, dass Nutzerdaten davon betroffen seien.

Golem Akademie
  1. Microsoft Dynamics 365 Guides mit HoloLens 2: virtueller Ein-Tages-Workshop
    16. Februar 2022, Virtuell
  2. Data Engineering mit Apache Spark: virtueller Zwei-Tage-Workshop
    25.–26. April 2022, Virtuell
Weitere IT-Trainings

Der für die IT-Sicherheit bei Yahoo verantwortliche Alex Stamos hat inzwischen auf Hacker News den Vorfall erklärt. Demnach ereignete sich der Hack offenbar auf sehr ungewöhnliche Weise. Die betroffenen Rechner hatten bereits Updates für die Shellshock-Lücke erhalten. Trotzdem funktionierte der Exploit-Code, mit dem der Shellshock-Server hackbar war. Ein Tool, das Yahoo zur Überwachung der Logdateien verwendete, sprang auf den entsprechenden Exploit-Code an und erlaubte ein Eindringen in die Server.

Hall versuchte offenbar auf verschiedenen Wegen, Yahoo über den Vorfall zu informieren. Erst als Hall Medien und das FBI informierte, reagierte Yahoo. Yahoo antwortete Hall und entschuldigte sich für die Schwierigkeiten bei der Erreichbarkeit. Vorfälle wie dieser seien, so Yahoo, nicht Teil des Bug-Bounty-Programms des Konzerns. Das führte auf Reddit zu einigen sarkastischen Kommentaren und den Verweis auf einen früheren Fall, bei dem ein Sicherheitsforscher von Yahoo einen 25-Dollar-Gutschein für die Entdeckung mehrerer kritischer Sicherheitslücken erhielt.

Stamos widerspricht Halls Darstellung. Hall habe nicht versucht, Yahoo über deren Security-Kontaktadresse zu erreichen. Die Kontaktadresse security@yahoo.com werde permanent gelesen, ebenso Bericht,e die über das Bug-Bounty-Programm eingereicht werden. Eine Stunde, nachdem Hall an Yahoos CEO Marissa Mayer eine Mail geschrieben hatte, habe man die entsprechenden Server vom Netz genommen, so Stamos.

Ob die Hacks von Lycos und Winzip über Shellshock erfolgen, ist bislang nicht klar, es ist aber wohl davon auszugehen. Die spezielle Lücke im Yahoo-Monitoring dürfte nur dort vorhanden sein.

Nachtrag vom 07. Oktober 2014, 09:47 Uhr

Ursprünglich hatten wir berichtet, der Yahoo-Hack sei mittels der Shellshock-Lücke durchgeführt worden. Das ist einem Statement von Yahoo-Sicherheitschef Alex Stamos zufolge falsch. Wir haben Text und Überschrift entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Bizzi 07. Okt 2014

Manche lassen sich wohl nicht so leicht unterkriegen. Nach Jahren wird mal wieder drauf...

angrydanielnerd 07. Okt 2014

Ob das so viel bringt ne GMail Adresse zu abusen, dann besorgt er sich eben ne andere...

Leguk 07. Okt 2014

Hallo, Das mit diesem 25 Dollar Gutschein ist ja glaube ich nur eine Art Verarschung...

droucles 07. Okt 2014

Leider kickt sich Marissa als Langfristinvestment nicht nur erst seit vorgestern raus...

Cyberlink 06. Okt 2014

Dazu fehlt mir in der Liste aber noch Geocities ;)



Aktuell auf der Startseite von Golem.de
Digitalisierung
500-Euro-Laptops für Lehrer "leistungsfähig und gut nutzbar"

Das Land NRW hat seine Lehrkräfte mit Dienst-Laptops ausgestattet. Doch diese äußern deutliche Kritik und verwenden wohl weiter private Geräte.

Digitalisierung: 500-Euro-Laptops für Lehrer leistungsfähig und gut nutzbar
Artikel
  1. Bundesservice Telekommunikation: Schlecht getarnte Tarnorganisation praktisch enttarnt
    Bundesservice Telekommunikation
    Schlecht getarnte Tarnorganisation praktisch enttarnt

    Inzwischen ist offensichtlich, dass der Bundesservice Telekommunikation zum Bundesamt für Verfassungsschutz gehört.

  2. Volkswagen Payments: VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken
    Volkswagen Payments
    VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken

    Volkswagen entlässt einem Bericht nach einen Mitarbeiter, nachdem dieser Bedenken hinsichtlich der Cybersicherheit von Volkswagen Payments äußerte.

  3. Frequenzen: Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne
    Frequenzen
    Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne

    Jochen Homann könnte vor seinem Ruhestand noch einmal Vodafone, Deutsche Telekom und Telefónica erfreuen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 Ti 12GB 1.699€ • Intel i9-10900K 444,88€ • Huawei Curved Gaming-Monitor 27" 299€ • Hisense-TVs zu Bestpreisen (u. a. 55" OLED 739€) • RX 6900 1.449€ • MindStar (u.a. Intel i7-10700KF 279€) • 4 Blu-rays für 22€ • LG OLED (2021) 77 Zoll 120Hz 2.799€ [Werbung]
    •  /