Puerta trasera agregada al código fuente PHP en la violación del servidor Git


Si el incidente hubiera pasado desapercibido, los atacantes podrían haberse apoderado de sitios internet utilizando el código contaminado.

Atacantes desconocidos pusieron en peligro el servidor PHP Git oficial y colocaron una puerta trasera en el código fuente del lenguaje de programación, lo que podría poner a los sitios net que usan el código contaminado en riesgo de una adquisición completa.

El mal actor empujó dos confirmaciones maliciosas al php-src repositorio – uno a nombre del propio creador de PHP Rasmus Lerdorf y el otro disfrazado de firmado por Nikita Popov, un conocido desarrollador y mantenedor de PHP. El primer compromiso supuestamente estaba corrigiendo un error tipográfico menor en el código, mientras que el segundo compromiso afirmó revertir la corrección.

«Todavía no sabemos exactamente cómo sucedió esto, pero todo apunta a un compromiso del servidor git.php.web (en lugar de un compromiso de una cuenta unique de git)», dijo Popov en un anuncio sobre el compromiso, que se vio el domingo.

Hablando a BleepingComputadora, Popov dijo que notaron la primera confirmación durante una revisión de código posterior a la confirmación de rutina, y los cambios en el código se revertieron de inmediato, en el tiempo antes de que pudieran haberse introducido en entornos de producción. El lenguaje del lado del servidor de código abierto se united states of america comúnmente en el desarrollo website.

El cambio de código fue notado por primera vez por los colaboradores Markus Staab, Michael Voříšek y Jake Birchall. Voříšek sospechó del cambio de código y preguntó acerca de su función, a lo que Birchall respondió que la «línea ejecuta el código PHP desde dentro del encabezado HTTP useragent, si la cadena comienza con &#39zerodium&#39».

De hecho, parece que los atacantes querían implicar a Zerodium, una empresa que se anuncia a sí misma como “la plataforma líder en adquisición de exploits para días cero premium”. Sin embargo, según su CEO, el corredor de día cero no tuvo nada que ver con el incidente.

Tras la infracción, el equipo de PHP decidió realizar la transición desde su propia infraestructura Git para mitigar los riesgos. “Si bien la investigación aún está en curso, hemos decidido que mantener nuestra propia infraestructura git es un riesgo de seguridad innecesario y que descontinuaremos el servidor git.php.web. En cambio, los repositorios en GitHub, que anteriormente eran solo espejos, se volverán canónicos. Esto significa que los cambios deben enviarse directamente a GitHub en lugar de a git.php.net ”, dijo Popov.

El equipo de PHP ahora está presionando para mayor seguridad. Mientras que anteriormente los desarrolladores que querían contribuir necesitaban utilizar el sistema de karma «de cosecha propia» de la organización, ahora deberán convertirse en miembros del repositorio GitHub de PHP y tener habilitada la autenticación de dos factores.

Mientras tanto, PHP está realizando una auditoría de seguridad de sus repositorios para verificar si hay más signos de compromiso o código malicioso más allá de las dos confirmaciones.





Enlace a la noticia primary