esenfrdeitptru

El servidor Git de PHP fue hackeado para agregar puertas traseras al código fuente de PHP

AS-29-2021

Fecha: 30/Marzo/2021

Resumen:

El repositorio de software oficial de PHP Git fue pirateado y la base del código manipulada. Ayer, dos confirmaciones maliciosas fueron enviadas al repositorio Php-Src Git mantenido por el equipo PHP en su servidor git.php.net . Los actores de las amenazas habían firmado estas confirmaciones como si fueran realizadas por desarrolladores y mantenedores de PHP conocidos, Rasmus Lerdorf y Nikita Popov.

El incidente es alarmante teniendo en cuenta que PHP sigue siendo el lenguaje de programación que alimenta a más del 79% de los sitios web en Internet.

La línea adicional 370 donde se llama a la función zend_eval_string, el código realmente planta una puerta trasera para obtener fácil ejecución remota de código (RCE) en un sitio web que ejecuta esta versión secuestrada de PHP.

Esta línea ejecuta código PHP desde el encabezado HTTP useragent, si la cadena comienza con 'zerodium'", respondió el desarrollador de PHP Jake Birchall a Michael Voříšek, quien había señalado por primera vez la anomalía.

Remediación:

Como precaución después de este incidente, los mantenedores de PHP han decidido migrar el repositorio oficial de código fuente PHP a GitHub. Aunque la investigación todavía está en marcha, hemos decidido que mantener nuestra propia infraestructura git es un riesgo de seguridad innecesario, y que vamos a interrumpir el servidor git.php.net. En cambio, los repositorios de GitHub, que antes sólo eran espejos, se volverán canónicos", anunció Popov.

Con este cambio en el futuro, Popov insiste en que cualquier cambio de código se inserte directamente en GitHub en lugar del servidor git.php.net a partir de este momento.

Aquellos interesados en contribuir al proyecto PHP ahora tendrán que ser agregados como parte de la organización PHP en GitHub.

Referencias:

https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/

https://news-web.php.net/php.internals/113838

https://thehackernews.com/2021/03/phps-git-server-hacked-to-insert-secret.html

https://www.zdnet.com/article/official-php-git-server-targeted-in-attempt-to-bury-malware-in-code-base/

https://www.bankinfosecurity.com/attacker-updates-php-source-code-to-include-backdoor-a-16286

https://www.darkreading.com/attacks-breaches/attackers-target-php-git-server-to-backdoor-source-code/d/d-id/1340540

https://www.helpnetsecurity.com/2021/03/29/backdoor-php/

https://www.itnews.com.au/news/php-suffers-supply-chain-attack-562766

https://securityaffairs.co/wordpress/116088/hacking/php-git-server-hack.html

https://www.securityweek.com/backdoor-disguised-typo-fix-added-php-source-code

https://www.theregister.com/2021/03/29/php_repository_infected/