Włamanie w projekcie PHP. Wstrzyknięto złośliwy kod

Opiekunowie projektu PHP przyznali, że nastąpiło włamanie do repozytorium Git, które przechowywało kod głównej gałęzi rozwojowej środowiska PHP. W rezultacie uzyskano dostęp do praw akceptacji i merge'owania kodu, z czego od razu skorzystano. Pod preteksem naprawy literówki, w kodzie pojawił się backdoor.PHP nie jest napisane w PHP, a w języku C. I w tym też języku wciągnięto commit ze złośliwym kodem. Wszystko wskazuje na włamanie do serwera, a nie przejęcie poświadczeń któregoś z uprawnionych kont. Bo choć commit podpisano jako twórczość jednego z głównych opiekunów (Rasmus Lerdorf), poszlaki nie wskazują podobno na kradzież poświadczeń.

Zaakceptowany kod to dość ordynarny i łatwy do wykrycia backdoor: wykonuje on jako kod zawartość nagłówka, jeżeli zaczyna się on od "Zerodium". Sztuczkę prędko wykryto i usunięto ją z repozytorium. W historii tej ważne jest kilka elementów, choć większość komentatorów ogranicza się do jednego: przeprowadzony atak był "nadużyciem łańcucha dostaw", go klasyfikuje go w tej samej kategorii, co niedawna draka z Solarwinds.

Nic dziwnego. Projekt PHP posiadał samodzielnie hostowany serwera Git własnego autorstwa. Odpowiadano więc za opiekę, zabezpieczanie go i rozdawanie dostępów. Self-host brzmi dumnie, ale w praktyce biznesowej przegrywa z chmurą. Koszty opieki (czasowe, nie pieniężne) są za wysokie. Dlatego projekt porzuca własny serwer Git i migruje GitHuba. Portal ten, należący obecnie do Microsoftu, hostuje pokaźną i ciągle rosnącą liczbę przedsięwzięć open source.Kiepski biznesDruga interesująca kwestia to wzmianka o Zerodium. Jest to firma skupująca dziury, eksploity i techniczne opisy podatności w oprogramowaniu. Płaci więcej niż projekty Bug Bounty głównych firm, ale pod jednym warunkiem: że odkrywca nigdy nie podzieli się ze światem swoim odkryciem. Niektórzy eksperci, jak Marcus Hutchins, sugerują że włamywacz usiłował sprzedać w Zerodium swój dostęp do Gita PHP jako eksploit, motywując to argumentem "że skoro mam dostęp, to mogę wstrzyknąć co chcecie!".

Metodyka ciągłej integracji znacząco ogranicza wpływ przejęcia repozytorium na "zdrowie" wydań oficjalnych. Dlatego dostęp do Gita nie został kupiony, włamywacz obraził się i w kodzie użył frazy "Zerodium" i czegoś na kształt "oto moja dziura, już dawno ją sprzedałem!". Tymczasem całość jawi się obecnie bardziej jako jedna wielka strata czasu.

Jest jednak jeszcze jeden detal, o którym próżno gdziekolwiek przeczytać, a który rzuca się w oczy po uważnym przejrzeniu commita. Otóż jedną z uwag dotyczących kodu wprowadzającego możliwość zdalnego wykonywania kodu na serwerze jest... pytanie, czy przypadkiem nie ma w nim literówki. Czyżby recenzowanie kodu kolegów "starszych stopniem" czasami wstrzymywało zdolności do konstruktywnej krytyki? 😄

Nie wydano żadnej wersji PHP zawierającej wyżej opisany backdoor.