雅虎确认被攻击，但不是由于Shellshock

Jonathan Hall是安全公司Future South Technologies的高级工程师。在本周早些时候发布的一份报告中，他说黑客利用Shellshock Bug攻击了雅虎的系统。Shellshock是Bash中一个严重的漏洞，允许黑客在未经授权的情况下以合法用户的身份执行代码和命令。InfoQ对此有过专门报道。

据ZDNet报道，雅虎已经确认受到了攻击。但是，在Hacker News的一篇博文中，雅虎首席安全官Alex Stamos反驳了Hall的说法。据他说，在对受攻击情况进行了全面调查后，他们发现，服务器并没有受到Shellshock的影响。他写道，攻击者上周末在雅虎的三台Sports API服务器执行过恶意代码，用于寻找易受攻击的Shellshock服务器。但他们突然改变了攻击方式，可能是为了绕过IDS/IDP或者WAF过滤器。而这一改变正好利用了Sports团队正在使用的一个监控脚本中存在的命令行注入Bug。

同时，Alex还指出，在受到攻击后，雅虎迅速隔离了这些服务器，而且受影响的服务器只是用于提供体育比赛的现场直播，并不存储用户数据。因此，目前没有证据表明有用户数据受到影响。与此同时，为了及时发现并处理未来可能出现的问题，他们已经将攻击模式添加到CI/CD代码扫描器中。

此外，Hall声称曾多次尝试联系过雅虎，但没有得到回应。Stamos否认了他的这一说法。

感谢郭蕾对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作，请邮件至[email protected]。也欢迎大家通过新浪微博（@InfoQ）或者腾讯微博（@InfoQ）关注我们，并与我们的编辑和其他读者朋友交流。