Хакеры взламывают сервер PHP Git и вставляют бэкдор в исходный код
Хакеры взломали основной репозиторий Git языка программирования PHP, добавив в исходный код бэкдор, который может позволить злоумышленнику получить доступ к миллионам серверов по всему миру.
Однако, как бы плохо это ни звучало, хакеры также оставили гигантский красный флаг для команды разработчиков PHP, предположительно в качестве предупреждения об уязвимости, а не в качестве прямого эксплойта.
Хакеры вставляют бэкдор в исходный код PHP
Команда разработчиков PHP опубликовала официальное заявление, подтверждающее нарушение исходного кода, в воскресенье, 28 марта.
В заявлении подтверждается, что исходный код PHP действительно был взломан, и вредоносный код был отправлен на сервер PHP Git со счетов ведущих разработчиков Расмуса Лердорфа и Никиты Попова.
Бэкдор, который еще не был запущен в производство (то есть он не был загружен на какие-либо серверы), позволил бы злоумышленнику выполнить код на любом уязвимом сервере PHP. Это предоставит существенный доступ к злоумышленнику и представляет значительную опасность для миллионов веб-сайтов, использующих язык программирования.
Однако, хотя взлом и выявление уязвимости плохи, очевидно, что хакер или хакеры никогда не намеревались запускать эксплойт. Чтобы запустить вредоносный код, атака должна отправить запрос на определенную строку с именем zerodium .
Zerodium – это название хорошо известного брокерского сервиса эксплойтов, где хакеры могут продавать эксплойты тому, кто больше заплатит. Включение названия подтверждает идею о том, что хакеры привлекали внимание к команде разработчиков PHP, а не активно использовали уязвимость.
Разработка PHP предпринять дополнительные меры безопасности
В результате взлома команда разработчиков PHP изменит способ управления доступом к своему серверу Git, сделав репозитории GitHub де-факто базой кода для проекта, а не просто зеркалом, как сейчас.
Хотя расследование все еще продолжается, мы решили, что поддержка нашей собственной инфраструктуры git представляет собой ненужную угрозу безопасности, и что мы прекратим поддержку сервера git.php.net. Вместо этого репозитории на GitHub, которые раньше были только зеркалами, станут каноническими. Это означает, что изменения следует отправлять непосредственно на GitHub, а не на git.php.net.
После переключения те, кому требуется доступ к репозиториям PHP, должны будут напрямую связаться с командой разработчиков, чтобы сделать запрос.
Хотя команда разработчиков считает, что нарушение было взломом самого сервера Git, а не отдельной учетной записи, разработка PHP по праву предпринимает дополнительные шаги, чтобы гарантировать отсутствие дальнейших нарушений.
По данным W3Techs , около 80 процентов всех сайтов в Интернете используют ту или иную форму PHP, поэтому дополнительные меры безопасности полностью понятны.