Posté le mars 31, 2021 à 18:05
LES SERVEURS PHP GIT SONT COMPROMIS PAR DES HACKERS QUI INSTALLENT UNE PORTE DÉROBÉE SECRÈTE
Un rapport récent a révélé qu’un acteur malveillant avait ajouté une porte dérobée au code source d’un langage de programmation PHP. Selon le rapport, l’incident a provoqué une faille sur des sites web qui aurait conduit à une prise de contrôle complète.
Au cours du week-end, deux mises à jour ont été envoyées au serveur PHP Git, ce qui aurait permis aux visiteurs ne disposant pas d’une autorisation d’exécuter le code de leur choix. Selon les développeurs, l’exécution du code est possible si un site Web fonctionnant en PHP exécute ces deux mises à jour.
Les mises à jour ont été effectuées sous les noms de comptes de deux célèbres développeurs PHP, Nikita Popov et Rasmus Lerdorf.
Popov a déclaré que personne ne sait exactement comment les hackers ont pu compromettre les serveurs, mais qu’une enquête est en cours. Il a ajouté que le problème provient de l’infiltration du serveur git.php.net et non de l’infiltration d’un compte git individuel.
Zerodium mentionné dans l’attaque
La mise à jour aurait été faite pour corriger une faute de frappe, la première mise à jour étant intervenue avant la seconde. Après que les développeurs aient repéré la première mise à jour, Voříšek a découvert le deuxième commit malveillant, effectué sous le nom de compte de Popov, qui aurait annulé la correction de la typographie effectuée par la mise à jour malveillante précédente.
La raison pour laquelle les mises à jour faisaient référence à Zerodium, un courtier qui vend des exploits aux agences gouvernementales à des fins d’enquête, n’est pas claire. Mais le directeur général de la société, Chaouki Bekrar, a déclaré que les investigations ont révélé que Zerodium n’était pas impliqué dans l’exploit.
« Bravo au troll qui a mis ‘Zerodium’ dans les commits PHP git compromis d’aujourd’hui », a-t-il déclaré.
Il a ajouté que les chercheurs qui ont découvert la vulnérabilité l’ont gravée pour le plaisir, probablement parce qu’ils n’ont pas réussi à la vendre à plusieurs entités qu’ils ont approchées.
Avant la récente violation, le groupe PHP était en charge de tous les accès en écriture au dépôt sur un seul serveur git. Ils utilisaient un système interne connu sous le nom de Karma.
Cela offrait différents niveaux d’accès et de privilèges aux utilisateurs, bien que cela dépende des contributions précédentes, tandis que GitHub était considéré comme un dépôt de petite taille.
Cependant, le dépôt auto-hébergé a été abandonné par le groupe PHP et remplacé par GitHub.
Suite à ce changement, GitHub est désormais considéré comme le dépôt « canonique ». Le système Karma n’est plus utilisé par le groupe PHP.
À sa place, les contributeurs sont autorisés à faire partie de l’organisation PHP sur GitHub. Mais pour qu’ils puissent faire des commits, ils doivent se connecter à leur compte en utilisant une authentification à double facteur.
L’infrastructure Git est un risque pour la sécurité
Après la violation, il a été révélé que les développeurs de PHP ont déclaré que l’infrastructure autonome de Git constitue un risque inutile pour la sécurité.
Par conséquent, ils prévoient de dissoudre le serveur git.php et d’établir GitHub comme source principale pour les dépôts de PHP. À l’avenir, les modifications de l’ensemble du code source de PHP ne se feront plus sur git.php.net mais directement sur le serveur GitHub.
L’incident de piratage a été révélé publiquement par les développeurs Michael Voříšek, Jake Birchallf et Markus Staab dimanche soir. Il a été découvert alors qu’ils examinaient minutieusement un commit effectué la veille.
HD Moore, directeur général de la plateforme de découverte des réseaux Rumble, estime que l’exploit a été réalisé par ceux qui tentent de prouver qu’ils ont un accès non autorisé. Il a déclaré que les acteurs malveillants n’avaient pas nécessairement pour objectif d’ouvrir une porte dérobée sur les sites utilisant PHP.
Les serveurs Php.net ont été compromis dans le passé
Bien que les serveurs php.net soient considérés comme très solides en matière de sécurité, le serveur a eu sa part de problèmes de vulnérabilité. À part ce week-end, le serveur a également été compromis dans le passé.
L’incident précédent s’est produit au début de l’année 2019, lorsque les acteurs malveillants ont tenté de mener une attaque de la chaîne logistique. Le référentiel d’applications PHP a été touché à l’époque, ce qui a entraîné une fermeture temporaire de la majeure partie de son site. Il a été découvert que les acteurs malveillants ont planté un code malveillant à la place du gestionnaire de paquets principal.
Le groupe PHP a alors admis que ceux qui ont installé PEAR PHP au cours des six derniers mois peuvent avoir été affectés.
Ces attaques sont inquiétantes pour les propriétaires de sites web car PHP fait fonctionner la majorité des sites web. Environ 8 sites web sur 10 utilisent PHP, ce qui montre à quel point cette attaque peut toucher des millions de sites.