De Yahoo-servers die dit weekend werden gehackt zijn toch niet het slachtoffer van de Bash-bug geworden, zo heeft Alex Stamos laten weten, de chief information security officer (CISO) van Yahoo. Gisteren kwam onderzoeker Jonathan Hall met het nieuws dat verschillende servers van Yahoo, alsmede WinZip en Lycos, door een groep aanvallers waren gecompromitteerd die misbruik van de Bash-bug maakten.

Yahoo bevestigde tegenover de onderzoeker zijn bevindingen, maar Stamos stelt nu op Hacker News dat de Bash-bug toch niet de oorzaak was. De aanvallers hadden hun aanvalscode die misbruik van de Bash-bug aangepast, waarschijnlijk om de beveiligingssystemen te omzeilen. De aanpassing zorgde er echter voor dat er command injection in een monitoringsscript mogelijk was. Via deze kwetsbaarheid konden de aanvallers kwaadaardige code op de servers uitvoeren.

Volgens Stamos worden de getroffen servers gebruikt voor het doorsturen van streamingdata van wedstrijden en bevatten geen gebruikersgegevens. Uit onderzoek zou verder blijken dat de aanvallers geen andere machines hebben overgenomen of dat gebruikersgegevens gecompromitteerd zijn geraakt. "Dit lek trof een klein aantal machines en is opgelost", aldus Stamos. "Zoals je kunt voorstellen zorgde dit incident voor wat verwarring binnen ons team, aangezien de servers in kwestie succesvol waren gepatcht nadat het Bash-lek bekend werd."

De Yahoo-CISO ziet in het voorval een belangrijk leermoment voor zowel aanvallers als verdedigers, namelijk dat het succesvol uitvoeren van een exploit nog niet wil zeggen dat het ook van het verwachte lek misbruik maakte. Daarnaast gaat Stamos ook nog in op de kritiek van Hall dat Yahoo lastig voor beveiligingsproblemen is te bereiken. Uit gegevens van Yahoo zou blijken dat de onderzoeker geen contact via de daarvoor bestemde e-mailadressen heeft opgenomen.