Przejdź na

Włamanie w projekcie PHP. Wstrzyknięto złośliwy kod

Opiekunowie projektu PHP przyznali, że nastąpiło włamanie do repozytorium Git, które przechowywało kod głównej gałęzi rozwojowej środowiska PHP. W rezultacie uzyskano dostęp do praw akceptacji i merge'owania kodu, z czego od razu skorzystano. Pod preteksem naprawy literówki, w kodzie pojawił się backdoor.PHP nie jest napisane w PHP, a w języku C. I w tym też języku wciągnięto commit ze złośliwym kodem. Wszystko wskazuje na włamanie do serwera, a nie przejęcie poświadczeń któregoś z uprawnionych kont. Bo choć commit podpisano jako twórczość jednego z głównych opiekunów (Rasmus Lerdorf), poszlaki nie wskazują podobno na kradzież poświadczeń.

Włamanie w projekcie PHP. Wstrzyknięto złośliwy kod (fot. PxHere CC0)Włamanie w projekcie PHP. Wstrzyknięto złośliwy kod (fot. PxHere CC0)
Kamil J. Dudek
Kamil J. Dudek

Zdalne wykonanie kodu

Zaakceptowany kod to dość ordynarny i łatwy do wykrycia backdoor: wykonuje on jako kod zawartość nagłówka, jeżeli zaczyna się on od "Zerodium". Sztuczkę prędko wykryto i usunięto ją z repozytorium. W historii tej ważne jest kilka elementów, choć większość komentatorów ogranicza się do jednego: przeprowadzony atak był "nadużyciem łańcucha dostaw", go klasyfikuje go w tej samej kategorii, co niedawna draka z Solarwinds.

(fot. Kamil Dudek via PHP)
(fot. Kamil Dudek via PHP)

Nic dziwnego. Projekt PHP posiadał samodzielnie hostowany serwera Git własnego autorstwa. Odpowiadano więc za opiekę, zabezpieczanie go i rozdawanie dostępów. Self-host brzmi dumnie, ale w praktyce biznesowej przegrywa z chmurą. Koszty opieki (czasowe, nie pieniężne) są za wysokie. Dlatego projekt porzuca własny serwer Git i migruje GitHuba. Portal ten, należący obecnie do Microsoftu, hostuje pokaźną i ciągle rosnącą liczbę przedsięwzięć open source.Kiepski biznesDruga interesująca kwestia to wzmianka o Zerodium. Jest to firma skupująca dziury, eksploity i techniczne opisy podatności w oprogramowaniu. Płaci więcej niż projekty Bug Bounty głównych firm, ale pod jednym warunkiem: że odkrywca nigdy nie podzieli się ze światem swoim odkryciem. Niektórzy eksperci, jak Marcus Hutchins, sugerują że włamywacz usiłował sprzedać w Zerodium swój dostęp do Gita PHP jako eksploit, motywując to argumentem "że skoro mam dostęp, to mogę wstrzyknąć co chcecie!".

Metodyka ciągłej integracji znacząco ogranicza wpływ przejęcia repozytorium na "zdrowie" wydań oficjalnych. Dlatego dostęp do Gita nie został kupiony, włamywacz obraził się i w kodzie użył frazy "Zerodium" i czegoś na kształt "oto moja dziura, już dawno ją sprzedałem!". Tymczasem całość jawi się obecnie bardziej jako jedna wielka strata czasu.

Code Review to trudna rzecz

Jest jednak jeszcze jeden detal, o którym próżno gdziekolwiek przeczytać, a który rzuca się w oczy po uważnym przejrzeniu commita. Otóż jedną z uwag dotyczących kodu wprowadzającego możliwość zdalnego wykonywania kodu na serwerze jest... pytanie, czy przypadkiem nie ma w nim literówki. Czyżby recenzowanie kodu kolegów "starszych stopniem" czasami wstrzymywało zdolności do konstruktywnej krytyki? 😄

Nie wydano żadnej wersji PHP zawierającej wyżej opisany backdoor.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Wyciek danych klientów polskich sklepów. 130 tys. pokrzywdzonych
Wyciek danych klientów polskich sklepów. 130 tys. pokrzywdzonych
mBank zmienia wymagania aplikacji. Niektórzy muszą wymienić telefon
mBank zmienia wymagania aplikacji. Niektórzy muszą wymienić telefon
Awaria w Pekao S.A. Problem z bankowością (aktualizacja)
Awaria w Pekao S.A. Problem z bankowością (aktualizacja)
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zagrożenia w sieci. Na nie narażone są dzieci
Zagrożenia w sieci. Na nie narażone są dzieci
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯