El experto en seguridad informática y pentester, Ebrahim Hegazy, encontró una vulnerabilidad crítica en el sitio web de Yahoo que permitía a un atacante explotar un fallo de seguridad y ejecutar comandos remotamente en uno de los servidores de la compañía.

De acuerdo una publicación en el blog de Ebrahim, la vulnerabilidad residía en un subdominio chino del sitio web de Yahoo (http://tw.user.mall.yahoo.com/rating/list-sid=$Vulnerability). Era posible cambiar el valor del parámetro "sid", el cual se pasaba como argumento a la función eval() para permitir evaluar una cadena como código PHP, inyectando las cadenas adecuadas se "obligaba" al servidor a ejecutar ciertos comandos.

Hegazy documentó pruebas de concepto en las que se muestra de forma exitosa la explotación de dicha vulnerabilidad. Algunas de las cadenas que el experto manipuló para realizar la evaluación de seguridad se muestran a continuación:

Ejemplo 1: http://tw.user.mall.yahoo.com/rating/list-sid=${@print(system(“dir”))}

Ejemplo 2: http://tw.user.mall.yahoo.com/rating/list-sid=${@print(system(“ps”))}

La semana pasada, el equipo de seguridad de Yahoo tuvo conocimiento del fallo, mismo que quedó solucionado un día después de recibir el reporte.

El kernel del servidor en el que se ejecutaban los comandos enviados por medio de la URL tiene una vulnerabilidad local de elevación de privilegios, lo que implicaría que el atacante podría aprovechar la falla y obtener acceso como root (acceso administrativo) en el servidor.

Esta noticia surge después de que hace pocos días, Facebook pagara $35,500 dólares (la cifra más grande hasta ahora) a un investigador brasileño como parte de su programa de recompensas. El investigador descubrió y reportó una vulnerabilidad que permitía ejecutar código remotamente.