R\u00e9cemment, un groupe de hackers a attaqu\u00e9 et compromis le serveur Git auto-h\u00e9berg\u00e9 appartenant aux mainteneurs du langage de programmation PHP. D’apr\u00e8s ce que l’on sait, l’attaque est class\u00e9e comme une attaque de la cha\u00eene d’approvisionnement des logiciels, et elle a vu les hackers compromettre le serveur et ins\u00e9rer une porte d\u00e9rob\u00e9e.<\/p>\n\n\n\n
Toutefois, les responsables du serveur du langage PHP ont r\u00e9ussi \u00e0 \u00e9viter l’attaque, qui a eu lieu le 28 mars 2021. Quant au serveur lui-m\u00eame, il a servi de d\u00e9p\u00f4t Git d’une nouvelle version de PHP qui est actuellement en cours de d\u00e9veloppement.<\/p>\n\n\n\n
Plusieurs contributeurs PHP ont inspect\u00e9 le code apr\u00e8s l’attaque, d\u00e9couvrant que plusieurs modifications y avaient \u00e9t\u00e9 apport\u00e9es.<\/p>\n\n\n\n
Quel \u00e9tait l’objectif des hackers ?<\/strong><\/p>\n\n\n\n Le v\u00e9ritable objectif des hackers n’est pas connu, mais pour l’instant, il semble qu’ils aient vis\u00e9 tout serveur qui utilise la compression PHP ZLib lors de l’envoi de donn\u00e9es. Une grande majorit\u00e9 de serveurs utilise cette fonctionnalit\u00e9 sur \u00e0 peu pr\u00e8s tout le contenu transmis, \u00e0 l’exception de quelques exemples, comme les images et les archives qui sont d\u00e9j\u00e0 optimis\u00e9es en termes de taille.<\/p>\n\n\n\n Apr\u00e8s avoir analys\u00e9 l’attaque, les chercheurs pensent que l’objectif \u00e9tait de transformer PHP en un shell web distant, que les attaquants pourraient utiliser pour ex\u00e9cuter \u00e0 peu pr\u00e8s n’importe quelle commande par la suite, sans aucune authentification requise. En fait, ils auraient les m\u00eames privil\u00e8ges que le serveur qui ex\u00e9cute PHP.<\/p>\n\n\n\n La porte d\u00e9rob\u00e9e se d\u00e9clenche d\u00e8s qu’une nouvelle requ\u00eate contenant le mot d\u00e9clencheur \u00ab\u00a0zerodium\u00a0\u00bb arrive. Si cette condition est remplie, PHP ex\u00e9cute le code contenu dans l’en-t\u00eate de la requ\u00eate User-Agent, comme l’ont expliqu\u00e9 les experts.<\/p>\n\n\n\n Une autre chose \u00e0 noter est que l’en-t\u00eate ressemble beaucoup \u00e0 la requ\u00eate User-Agent de PHP pour v\u00e9rifier les propri\u00e9t\u00e9s du navigateur.<\/p>\n\n\n\n Ainsi, si le mot d\u00e9clencheur est inclus, le syst\u00e8me traite le reste de la requ\u00eate comme une commande et l’ex\u00e9cute en utilisant les privil\u00e8ges du serveur, ind\u00e9pendamment de ce que dit la commande. Par cons\u00e9quent, les hackers seraient en mesure d’ex\u00e9cuter n’importe quelle commande, sans avoir besoin d’autres privil\u00e8ges.<\/p>\n\n\n\n Zerodium est en fait une soci\u00e9t\u00e9 qui fonctionne comme un courtier en vuln\u00e9rabilit\u00e9s. En fait, elle ach\u00e8te des vuln\u00e9rabilit\u00e9s zero day et les revend ensuite \u00e0 des agences gouvernementales. Cependant, l’entreprise a fermement ni\u00e9 avoir quoi que ce soit \u00e0 voir avec cette attaque particuli\u00e8re. En fait, son PDG, Chaouki Bekrar, est m\u00eame all\u00e9 jusqu’\u00e0 accuser les chercheurs d’avoir install\u00e9 la porte d\u00e9rob\u00e9e eux-m\u00eames, puis d’avoir essay\u00e9 de la vendre. Puis, comme ils n’ont pas trouv\u00e9 d’acheteurs, ils ont d\u00e9cid\u00e9 de divulguer la faille.<\/p>\n\n\n\n Cependant, compte tenu de la dur\u00e9e de vie de la porte d\u00e9rob\u00e9e, l’accusation n’a pas beaucoup de sens.<\/p>\n\n\n\n L’attaque a \u00e9t\u00e9 commise en utilisant les noms de l’auteur du projet PHP, Rasmus Lerdorf, et de Nikita Popov.<\/p>\n\n\n\n Les cons\u00e9quences de l’attaque<\/strong><\/p>\n\n\n\n Selon Nikita Popov, un important contributeur PHP travaillant chez JetBrains, l’\u00e9quipe n’a pas encore r\u00e9ussi \u00e0 \u00e9tablir comment l’intrusion s’est produite en premier lieu. Une explication possible est que le serveur git.php.net a \u00e9t\u00e9 compromis, ce qui est beaucoup plus probable que la possibilit\u00e9 que le compte Git lui-m\u00eame soit compromis.<\/p>\n\n\n\n Mais, ind\u00e9pendamment de la fa\u00e7on dont les attaquants ont r\u00e9ussi \u00e0 compromettre le serveur, les membres de l’\u00e9quipe ont d\u00e9clar\u00e9 que le maintien d’une infrastructure Git constitue un risque de s\u00e9curit\u00e9 inutile. Par cons\u00e9quent, ils ont d\u00e9cid\u00e9 de ne plus utiliser le serveur. Ils ont \u00e9galement fait des d\u00e9p\u00f4ts stock\u00e9s sur Github les nouvelles copies canoniques pour les futures versions, puisque la version sur le serveur a \u00e9t\u00e9 compromise.<\/p>\n\n\n\n De plus, les contributeurs PHP doivent \u00eatre ajout\u00e9s comme faisant partie de l’organisation sur Github, et avoir un acc\u00e8s 2FA, ce qui en fait un endroit beaucoup plus s\u00fbr pour travailler et d\u00e9tenir des copies de PHP.<\/p>\n\n\n\n En outre, M. Popov a \u00e9galement d\u00e9clar\u00e9 qu’il \u00e9tait pr\u00e9vu d’examiner le code de PHP, au-del\u00e0 des seuls commits malveillants. Le public a \u00e9galement \u00e9t\u00e9 invit\u00e9 \u00e0 examiner le code et \u00e0 tirer la sonnette d’alarme s’il remarque quelque chose de suspect.<\/p>\n\n\n\n Quant au reste de l’\u00e9quipe PHP, elle a mis en place un syst\u00e8me de gestion des privil\u00e8ges qu’elle a baptis\u00e9 Karma, et qui r\u00e9side d\u00e9sormais sur son propre serveur Git. Mais il n’y a aucune preuve que Karma ait \u00e9t\u00e9 utilis\u00e9 pour compromettre les serveurs de quelque mani\u00e8re que ce soit.<\/p>\n\n\n\n Il convient \u00e9galement de noter que ce n’\u00e9tait pas la premi\u00e8re fois que le serveur Git \u00e9tait compromis. En 2019, l’\u00e9quipe a \u00e9galement d\u00fb fermer temporairement le serveur apr\u00e8s avoir d\u00e9couvert qu’un attaquant inconnu avait remplac\u00e9 le PEAR (PHP Extension and Application Repository) officiel par une copie malveillante. \u00c9tant donn\u00e9 que PHP alimente actuellement environ 80 % de tous les sites Web dans le monde, une attaque r\u00e9ussie de la cha\u00eene d’approvisionnement pourrait avoir des cons\u00e9quences catastrophiques.<\/p>\n\n\n\n Heureusement, il est tr\u00e8s peu probable qu’une compromission puisse affecter les utilisateurs de PHP dans la nature. En tout cas, il est possible que les hackers aient fait cela juste pour prouver qu’ils peuvent le faire.<\/p>\n","protected":false},"excerpt":{"rendered":"