Các thành viên của dự án nguồn mở tuyên bố rằng một hacker đã đột nhập vào máy chủ được sử dụng để phân phối ngôn ngữ lập trình PHP và thêm một cửa hậu vào mã nguồn, khiến các trang web dễ bị chiếm đoạt hoàn toàn
Các cam kết độc hại và cung cấp mã khả năng chèn mã cho những khách truy cập có từ "zerodium" trong tiêu đề HTTP. Hai bản cập nhật đã được đẩy lên máy chủ PHP Git vào cuối tuần và một trong số chúng đã thêm một dòng mà nếu được chạy bởi một trang web do PHP cung cấp, sẽ cho phép khách truy cập thực thi mã mà họ chọn mà không cần ủy quyền.
PHP. net bị hack, mã backdoor
Rasmus Lerdorf và Nikita Popov, hai nhà phát triển PHP nổi tiếng, đã sử dụng tài khoản của họ để thực hiện các cam kết đối với kho lưu trữ php-src. Nikita Popov cho biết: “Chúng tôi chưa biết chính xác điều này xảy ra như thế nào, nhưng mọi thứ đều hướng đến sự xâm phạm của hệ thống git. Popov đã viết trong một thông báo được công bố vào tối Chủ nhật, "[chứ không phải là sự thỏa hiệp của một tài khoản git cá nhân],"
Theo Popov, sau sự thỏa hiệp, những người bảo trì PHP đã quyết định rằng cơ sở hạ tầng Git độc lập của họ gây ra rủi ro bảo mật không cần thiết và sẽ bị ngừng hoạt động. Biến GitHub thành trang web lưu trữ kho lưu trữ chính thức cho PHP và php. net serverTất cả các sửa đổi trong tương lai đối với mã nguồn PHP sẽ được thực hiện trực tiếp tới GitHub thay vì git. mạng lưới
Khi các nhà phát triển Markus Staab, Jake Birchallf và Michael Voek kiểm tra một cam kết được thực hiện vào thứ Bảy, bản cập nhật, được cho là đã sửa lỗi đánh máy, được thực hiện dưới một tài khoản sử dụng tên của Lerdorf, những thay đổi độc hại đã được công khai không muộn hơn đêm Chủ nhật. Voek nhận thấy cam kết độc hại thứ hai ngay sau lần phát hiện đầu tiên, được thực hiện dưới tên tài khoản của Popov và tuyên bố sẽ hoàn tác sửa lỗi đánh máy trước đó
Các dòng mã giống nhau đã được thêm vào bởi cả hai lần xác nhận
_10Không rõ tại sao các cam kết lại đề cập đến Zerodium, một nhà môi giới mua khai thác từ các nhà nghiên cứu và bán chúng cho các tổ chức chính phủ để sử dụng trong điều tra hoặc các mục đích khác. Chaouki Bekrar, Giám đốc điều hành của doanh nghiệp, đã tuyên bố trên Twitter vào thứ Hai rằng Zerodium không liên quan
Đương nhiên, chúng tôi không có gì để làm với điều này; . Nhiều khả năng, [những] nhà nghiên cứu đã phát hiện ra lỗi/khai thác này đã cố gắng bán nó cho nhiều thực thể, nhưng không ai quan tâm đến việc mua rác này, vì vậy họ đã đốt nó để giải trí
Rõ ràng là chúng tôi không liên quan gì đến kẻ troll đã thêm "Zerodium" vào các cam kết bị xâm phạm git PHP ngày nay
– Chaouki Bekrar vào ngày 29 tháng 3 năm 2021 [@cBekrar]
Nhiều khả năng, [những] nhà nghiên cứu đã phát hiện ra lỗi/khai thác này đã cố gắng bán nó cho nhiều thực thể khác nhau, nhưng không ai quan tâm, vì vậy họ đã đốt nó cho mục đích giải trí
Nghiệp chướng
Nhóm PHP trước đây đã kiểm soát tất cả quyền truy cập ghi vào kho lưu trữ trên máy chủ git của riêng họ tại http. //git. php. net/ sử dụng Karma, một hệ thống "cây nhà lá vườn" theo Popov. Mặt khác, GitHub đã từng là một kho lưu trữ phản chiếu và cung cấp cho các nhà phát triển các mức đặc quyền truy cập khác nhau tùy thuộc vào những đóng góp trước đó
GitHub hiện là kho lưu trữ "chính tắc" vì Nhóm PHP đã từ bỏ cơ sở hạ tầng git tự lưu trữ và được quản lý để ủng hộ GitHub. Thay vì sử dụng hệ thống Karma, Nhóm PHP sẽ chuyển sang xác thực hai yếu tố cho tài khoản của những người đóng góp và yêu cầu họ phải là thành viên của tổ chức PHP trên GitHub
Đọc thêm
Bạn có thể bị nhiễm nếu bạn đã cài đặt PEAR PHP trong vòng sáu tháng trước đóKhông có báo cáo về các trang web kết hợp các thay đổi độc hại vào môi trường sản xuất của họ;
Theo HD Moore, đồng sáng lập và Giám đốc điều hành của nền tảng khám phá mạng Rumble, những sửa đổi có thể được thực hiện bởi những người muốn khoe khoang về việc họ truy cập trái phép vào máy chủ PHP Git chứ không phải những người thực sự đã cố gắng mở cửa sau các trang web do PHP cung cấp.
"Nếu tôi quan tâm đến vấn đề bảo mật trong PHP, tôi sẽ dành rất nhiều thời gian để xem lại các cam kết trước đó," anh ấy nói với Ars. "Có vẻ như những kẻ tấn công đang troll Zerodium hoặc cố gắng tạo ấn tượng rằng mã đã được mở cửa sau lâu hơn nữa. "”
Tin tặc đã xâm phạm kho lưu trữ Git chính của ngôn ngữ lập trình PHP, thêm một cửa hậu vào mã nguồn có thể cho phép kẻ tấn công truy cập vào hàng triệu máy chủ trên toàn thế giới
Tuy nhiên, nghe có vẻ tồi tệ, các tin tặc cũng để lại một lá cờ đỏ khổng lồ cho nhóm phát triển PHP, có lẽ là một cảnh báo liên quan đến lỗ hổng hơn là khai thác trực tiếp.
Hacker Chèn Backdoor Vào Mã Nguồn PHP
Nhóm phát triển PHP đã đưa ra một tuyên bố chính thức xác nhận vi phạm mã nguồn vào Chủ nhật, ngày 28 tháng 3
Tuyên bố xác nhận rằng mã nguồn PHP thực sự đã bị vi phạm, với mã độc được đẩy đến máy chủ PHP Git từ tài khoản của các nhà phát triển chính Rasmus Lerdorf và Nikita Popov
Cửa hậu chưa được đưa vào sản xuất [có nghĩa là nó chưa được đẩy trực tiếp tới bất kỳ máy chủ nào], sẽ cho phép kẻ tấn công thực thi mã trên bất kỳ máy chủ PHP dễ bị tổn thương nào. Nó sẽ cấp quyền truy cập đáng kể cho tác nhân đe dọa và gây nguy hiểm đáng kể cho hàng triệu trang web sử dụng ngôn ngữ lập trình
Có liên quan. Cách thao tác với văn bản trong PHP bằng các hàm tiện dụng này
Tuy nhiên, trong khi việc vi phạm và để lộ lỗ hổng là xấu, thì rõ ràng là tin tặc hoặc tin tặc không bao giờ có ý định khai thác. Để kích hoạt mã độc, một cuộc tấn công sẽ phải gửi yêu cầu đến một chuỗi cụ thể có tên là zerodium
Zerodium là tên của một dịch vụ môi giới khai thác nổi tiếng, nơi tin tặc có thể bán khai thác cho người trả giá cao nhất. Việc đưa vào tên cho thấy ý tưởng rằng các tin tặc đang thu hút sự chú ý đến nhóm phát triển PHP hơn là tích cực khai thác lỗ hổng
Có liên quan. Tìm hiểu cách phân phối các gói PHP của bạn với Packagist
Phát triển PHP Thực hiện các bước bảo mật bổ sung
Do vi phạm, nhóm phát triển PHP sẽ thay đổi cách quản lý quyền truy cập vào máy chủ Git của mình, biến kho lưu trữ GitHub của họ thành cơ sở mã thực tế cho dự án, thay vì chỉ là một bản sao như hiện tại.
Trong khi [cuộc] điều tra vẫn đang được tiến hành, chúng tôi đã quyết định rằng việc duy trì cơ sở hạ tầng git của riêng chúng tôi là một rủi ro bảo mật không cần thiết và chúng tôi sẽ ngừng git. php. máy chủ mạng. Thay vào đó, các kho lưu trữ trên GitHub, trước đây chỉ là bản sao, sẽ trở thành chính tắc. Điều này có nghĩa là các thay đổi nên được đẩy trực tiếp lên GitHub thay vì git. php. mạng lưới
Sau khi chuyển đổi, những người yêu cầu quyền truy cập vào kho PHP sẽ phải liên hệ trực tiếp với nhóm phát triển để đưa ra yêu cầu
Mặc dù nhóm phát triển tin rằng vi phạm là sự thỏa hiệp của chính máy chủ Git, chứ không phải tài khoản cá nhân, nhưng sự phát triển của PHP đang thực hiện các bước bổ sung một cách hợp lý để đảm bảo không có vi phạm nào nữa
Theo W3Techs, khoảng 80 phần trăm tất cả các trang web trên internet sử dụng một số dạng PHP, vì vậy các bước bảo mật bổ sung là hoàn toàn dễ hiểu
Những kẻ tấn công không xác định đã xâm phạm máy chủ PHP Git chính thức và đặt một cửa hậu trong mã nguồn của ngôn ngữ lập trình, có khả năng khiến các trang web sử dụng mã nhiễm độc có nguy cơ bị kiểm soát hoàn toàn
Kẻ xấu đã đẩy hai cam kết độc hại vào kho lưu trữ php-src – một dưới tên của chính người tạo PHP Rasmus Lerdorf và một cam kết khác được ngụy trang dưới dạng được ký bởi Nikita Popov, một nhà phát triển và bảo trì PHP nổi tiếng. Người ta cho rằng lần cam kết đầu tiên đã sửa một lỗi đánh máy nhỏ trong mã, trong khi lần cam kết thứ hai tuyên bố hoàn nguyên bản sửa lỗi
“Chúng tôi chưa biết chính xác điều này xảy ra như thế nào, nhưng mọi thứ đều hướng tới sự thỏa hiệp của git. php. net [chứ không phải là sự thỏa hiệp của một tài khoản git cá nhân],” Popov cho biết trong một thông báo về sự thỏa hiệp, được phát hiện vào Chủ nhật
Đang nói chuyện với BleepingComputer, Popov nói rằng họ đã nhận thấy lần xác nhận đầu tiên trong quá trình xem xét mã sau khi cam kết thông thường và các thay đổi đối với mã đã được hoàn nguyên ngay lập tức – kịp thời trước khi nó có thể được đưa vào môi trường sản xuất. Ngôn ngữ phía máy chủ nguồn mở thường được sử dụng trong phát triển web
Sự thay đổi mã lần đầu tiên được chú ý bởi những người đóng góp Markus Staab, Michael Voříšek và Jake Birchall. Voříšek trở nên nghi ngờ về sự thay đổi mã và hỏi về chức năng của nó, Birchall trả lời rằng “dòng thực thi mã PHP từ bên trong tiêu đề HTTP của người dùng, nếu chuỗi bắt đầu bằng 'zerodium'. ”
Thật vậy, có vẻ như những kẻ tấn công muốn ám chỉ Zerodium, một công ty tự nhận mình là “nền tảng mua lại khai thác hàng đầu cho các zero-day cao cấp”. Tuy nhiên, theo CEO của nó, nhà môi giới zero-day không liên quan gì đến vụ việc
Sau khi vi phạm, nhóm PHP đã quyết định chuyển đổi từ cơ sở hạ tầng Git của riêng mình để giảm thiểu rủi ro. “Trong khi cuộc điều tra vẫn đang được tiến hành, chúng tôi đã quyết định rằng việc duy trì cơ sở hạ tầng git của riêng mình là một rủi ro bảo mật không cần thiết và chúng tôi sẽ ngừng git. php. máy chủ mạng. Thay vào đó, các kho lưu trữ trên GitHub, trước đây chỉ là bản sao, sẽ trở thành chính tắc. Điều này có nghĩa là các thay đổi nên được đẩy trực tiếp lên GitHub thay vì git. php. mạng," Popov nói
Nhóm PHP hiện đang thúc đẩy tăng cường bảo mật. Mặc dù trước đây các nhà phát triển muốn đóng góp cần phải sử dụng hệ thống nghiệp chướng “cây nhà lá vườn” của tổ chức, giờ đây họ sẽ cần phải trở thành thành viên của kho lưu trữ GitHub của PHP và đã bật xác thực hai yếu tố
Trong thời gian chờ đợi, PHP đang thực hiện kiểm tra bảo mật cho các kho lưu trữ của mình để kiểm tra xem có thêm bất kỳ dấu hiệu xâm phạm hoặc mã độc nào ngoài hai lần xác nhận hay không