Na konci minulého mesiaca objavila sa správa, že hacker napadol server slúži na distribúciu programovacieho jazyka PHP a do zdrojového kódu pridal backdoor vďaka čomu by boli webové stránky zraniteľné voči úplnému prevzatiu, uviedli členovia projektu open source.
Problém bol nastolený v dvoch aktualizáciách zaslaných na server PHP Git počas víkendu 27. marca, v ktorom pridali riadok, ktorý, ak by bol prevádzkovaný webom poháňaným touto unesenou verziou PHP, by umožnil neoprávneným návštevníkom spustiť kód podľa ich výberu.
Škodlivé spáchanie umožnilo kódu vložiť kód do návštevníkov, ktorí mali v záhlaví HTTP slovo „zerodium“. Záväzky boli vykonané v úložisku php-src pod menom účet dvoch známych vývojárov PHP, Rasmus Lerdorf a Nikita Popov.
Po zásnubáchPopov vysvetlil, že úradníci PHP dospeli k záveru, že ich infraštruktúra Git nezávislý predstavovalo to zbytočné bezpečnostné riziko.
Výsledkom je, rozhodli sa vypnúť server git.php.net a urobiť GitHub oficiálnym zdrojom z repozitárov PHP. V budúcnosti budú všetky zmeny zdrojového kódu PHP vykonané priamo na GitHub namiesto git.php.net.
Správca PHP Nikita Popov vydal aktualizáciu o tom, ako bol kompromitovaný zdrojový kód a bol vložený škodlivý kód, pričom skôr vinil únik používateľskej databázy ako problém so samotným serverom.
Tím sa pôvodne domnieval, že server, ktorý hostil úložisko, bol napadnutý hackerom, ale v novom príspevku Popov uviedol:
"Už neveríme, že server git.php.net bol napadnutý." Je však možné, že došlo k úniku databázy používateľa master.php.net “. Master.php.net bola tiež migrovaná do nového systému main.php.net.
Tu sú podrobnosti, ktoré Popov uviedol o priebehu vyšetrovania:
„Keď sa prvé škodlivé potvrdenie uskutočnilo pod menom Rasmus, mojou prvou reakciou bolo zvrátiť zmenu a odobrať prístup k potvrdeniu z Rasmusovho účtu za predpokladu, že išlo o hacknutie individuálneho účtu. S odstupom času táto akcia skutočne nedávala zmysel, pretože najmä cez Rasmusov účet sa nijako zvlášť netlačilo. Akýkoľvek účet s prístupom do úložiska php-src mohol byť zadaný pod falošným menom.
"Keď bolo druhé škodlivé potvrdenie vykonané pod mojím vlastným menom, pozrel som sa do našich denníkov inštalácie gitolitu, aby som určil, ktorý účet sa v skutočnosti používa na odoslanie." Avšak aj napriek tomu, že boli zohľadnené všetky susedné potvrdenia, neexistovali žiadne záznamy git-receive-pack pre tieto dva škodlivé potvrdenia, čo znamená, že tieto dva potvrdenia úplne obišli infraštruktúru gitolitov. Toto sa interpretovalo ako pravdepodobný dôkaz kompromisu servera.
Medzi prijaté akcie patrí resetovanie všetkých hesiel a upravte kód tak, aby používal parametrizované dotazy na ochranu pred útokmi SQL injection.
Používanie parametrizovaných dotazov je najlepším odporúčaným postupom už mnoho rokov a skutočnosť, že kód, ktorý tak dlho nefunguje v srdci infraštruktúry zdrojového kódu PHP, ukazuje, aký nezabezpečený starší kód je v organizácii, ak funguje a nespôsobovať zjavné problémy.
Systém master.php.net, ktorý sa používa na autentifikáciu a rôzne administračné úlohy, Používal som veľmi starý kód na veľmi starej verzii / OS PHP, takže nejaká zraniteľnosť by nebola veľmi prekvapujúca. Manažéri údržby vykonali niekoľko zmien na zvýšenie bezpečnosti tohto systému:
- server master.php.net bol migrovaný na nový systém (so systémom PHP 8) a server main.php.net bol súčasne premenovaný. Nový systém okrem iného vyhovuje protokolu TLS 1.2, čo znamená, že by ste už pri prístupe na tento web nemali vidieť varovania týkajúce sa verzie TLS.
- Implementácia bola presunutá do používania parametrizovaných dotazov, aby sa zabezpečilo, že nemôže dôjsť k SQL injection.
- Heslá sa teraz ukladajú pomocou programu bcrypt.
- Existujúce heslá boli resetované (na vygenerovanie nového použite main.php.net/forgot.php).
Fuente: https://externals.io