miércoles, 31 de marzo de 2021

Hackeo en el repositorio oficial GIT de PHP

El Git de PHP recibe un hackeo

      El domingo de la semana pasada se enviaron dos nuevas modificaciones maliciosas al propio repositorio GIT de PHP git.php.net el cual es mantenido oficialmente por el propio equipo de PHP. Hasta estos sucesos el código se encontraba como respaldo únicamente en Github.

Este incidente es preocupante teniendo en cuenta que más del 79% de los sitios webs actuales de Internet siguen utilizando PHP como lenguaje de programación para la parte servidor. En este caso, los atacantes utilizaron las firmas de Rasmus Lerdof y Nikita Popov, dos conocidos mantenedores y desarrolladores de PHP.

Los atacantes subieron dos commits nuevos en lo que parecían cambiar errores tipográficos, aunque en realidad en el código se encontraba una puerta trasera con el objetivo de conseguir ejecutar código remotamente de una forma sencilla en los sitios webs que ejecutasen esta nueva versión de PHP.

Uno de los desarrolladores de PHP Jake Brichall, indico que la línea de código maliciosa se encontraba en el encabezado HTTP useragent. Por otro lado, el propio responsable de PHP Nikita Popov comento en una entrevista que encontraron y revirtieron esta modificación pocas horas después de ser realizadas, en una de las tantas revisiones rutinarias que realizan del código posterior a la confirmación.

La confirmación de esta modificación maliciosa se realizó en nombre de Rasmus Lerdof el creador de PHP. Esto se debe a que es posible realizar una firma de una confirmación localmente como si esta la realizase otra persona y luego cargar esta confirmación en el servidor remoto GIT, de esta forma da la impresión de que la persona nombrada localmente ha realizado dicha confirmación.

La investigación del ataque sigue estando en curso, aunque ha sido confirmado que la actividad maliciosa se origina en el servidor git.php.net comprometido, eliminando de esta forma la idea de que haya sido comprometida una cuenta de Git.

Tras los sucesos de este ataque el equipo de PHP ha confirmado que están planteando migrar el contenido del servidor GIT a uno nuevo de GitHub de forma permanente.


No hay comentarios:

Publicar un comentario