A finals del mes passat es va donar a conèixer la notícia que un hacker va comprometre el servidor utilitzat per distribuir el llenguatge de programació PHP i va agregar un backdoor a el codi font que hauria deixat als llocs web vulnerables a una adquisició completa, van dir membres de el projecte de codi obert.
El problema es va suscitar en dos actualitzacions enviades a servidor PHP Git durant el cap de setmana de el 27 de març en el qual van agregar una línia que, si fos executada per un lloc web impulsat per aquesta versió segrestada de PHP, hauria permès als visitants no autoritzats executar el codi de la seva elecció.
Les confirmacions malicioses li van donar a el codi la capacitat d'injectar codi en els visitants que tenien la paraula «zerodium» en una capçalera HTTP. Les confirmacions es van realitzar en el repositori php-src sota els noms de compte de dos coneguts desenvolupadors de PHP, Rasmus Lerdorf i Nikita Popov.
Després del compromís, Popov va explicar que els funcionaris de PHP van concloure que la seva infraestructura Git Independent representava un risc de seguretat innecessari.
Com a resultat, van decidir tancar el servidor git.php.net i fer de GitHub la font oficial de repositoris PHP. En el futur, tots els canvis en el codi font de PHP es realitzaran directament en GitHub en lloc d'en git.php.net.
El mantenidor de PHP, Nikita Popov, va llançar una actualització sobre com es va comprometre el codi font i es va inserir el codi maliciós, culpant a una fugida de la base de dades de l'usuari en lloc d'un problema amb el lloc en si.
L'equip originalment creia que el servidor que allotjava el repositori havia estat assaltat, però en una nova publicació, Popov va dir:
"Ja no creiem que el servidor git.php.net hagi estat compromès. No obstant això, és possible que s'hagi filtrat la base de dades de l'usuari master.php.net ". A més, master.php.net s'ha migrat a un nou sistema main.php.net.
Aquí hi ha detalls que Popov va donar sobre el progrés de la investigació:
"Quan es va realitzar la primera confirmació maliciosa sota el nom de Rasmus, la meva reacció inicial va ser revertir el canvi i revocar l'accés a la confirmació del compte de Rasmus, assumint que era un individu hack de compte. En retrospectiva, aquesta acció realment no tenia sentit, perquè Noel empenta estava succeint a través del compte de Rasmus en particular. Qualsevol compta amb accés a l'repositori php-src podria haver realitzat l'enviament amb un nom fals.
"Quan es va realitzar la segona confirmació maliciosa sota el meu propi nom, vaig mirar els registres de la nostra instal·lació de gitolite per determinar quin compte s'estava utilitzant realment per enviar. No obstant això, tot i que es van tenir en compte totes les confirmacions adjacents, no hi havia entrades git-receive-pack per a les dues confirmacions malicioses, el que significa que aquestes dues confirmacions van ometre del tot la infraestructura de gitolite. Això es va interpretar com a prova probable d'un compromís de servidor.
Les accions que s'han pres ara inclouen restablir totes les contrasenyes i modificar el codi per utilitzar consultes parametritzades per protegir-se contra atacs d'injecció SQL.
L'ús de consultes parametritzades ha estat la millor pràctica recomanada durant molts anys, i el fet que el codi que no s'ha estat executant durant tant de temps al cor de la infraestructura de el codi font de PHP mostra com de insegur és el codi heretat en una organització si està funcionant i no està causant problemes obvis.
El sistema master.php.net, que s'utilitza per a l'autenticació i diverses tasques d'administració, estava executant un codi molt antic en un sistema operatiu / versió PHP molt antic, de manera que algun tipus de vulnerabilitat no seria molt sorprenent. Els encarregats de l'manteniment han realitzat una sèrie de canvis per augmentar la seguretat d'aquest sistema:
- master.php.net s'ha migrat a un nou sistema (que executa PHP 8) i s'ha canviat el nom de main.php.net a el mateix temps. Entre altres coses, el nou sistema és compatible amb TLS 1.2, el que significa que ja no hauria de veure les advertències de la versió TLS a l'accedir a aquest lloc.
- La implementació s'ha traslladat a l'ús de consultes amb paràmetres, per assegurar-se que no es puguin produir injeccions de SQL.
- Les contrasenyes ara s'emmagatzemen usant bcrypt.
- Les contrasenyes existents s'han restablert (usi main.php.net/forgot.php per generar una nova).
font: https://externals.io