Los desarrolladores del proyecto PHP advirtieron sobre el compromiso del repositorio Git del proyecto y el descubrimiento de dos confirmaciones maliciosas agregadas al repositorio php-src el 28 de marzo en nombre de Rasmus Lerdorf, el fundador de PHP, y Nikita Popov, uno de los desarrolladores clave de PHP.
Dado que no hay confianza en la confiabilidad del servidor en el que estaba alojado el repositorio Git, los desarrolladores decidieron que mantener la infraestructura Git por su cuenta crea riesgos de seguridad adicionales y trasladaron el repositorio de referencia a la plataforma GitHub, que se propone utilizar. como el primario. Todos los cambios ahora deberían enviarse a GitHub, y no a git.php.net, incluso durante el desarrollo, ahora puede usar la interfaz web de GitHub.
En la primera confirmación maliciosa, con el pretexto de corregir un error tipográfico en el archivo ext/zlib/zlib.c, se realizó un cambio que ejecutaría el código PHP pasado en el encabezado HTTP del Agente de Usuario si el contenido comenzaba con la palabra "zerodium ". Después de que los desarrolladores notaron el cambio malicioso y lo revirtieron, apareció una segunda confirmación en el repositorio, que revirtió la acción de los desarrolladores de PHP para revertir el cambio malicioso.
El código agregado contiene la línea “REMOVETHIS: vendido a zerodium, mediados de 2017”, lo que puede insinuar que desde 2017 el código contiene otro cambio malicioso bien camuflado o una vulnerabilidad no corregida vendida a Zerodium, una empresa que compra 0 días. vulnerabilidades (Zerodium respondió que no compró información sobre la vulnerabilidad de PHP).
En este momento, no hay información detallada sobre el incidente; sólo se supone que los cambios se agregaron como resultado del hackeo del servidor git.php.net, y no del compromiso de cuentas de desarrolladores individuales. Se ha iniciado el análisis del repositorio para detectar la presencia de otros cambios maliciosos además de los problemas identificados. Todos están invitados a revisar; si se detectan cambios sospechosos, debe enviar información a [email protected].
Con respecto a la transición a GitHub, para obtener acceso de escritura al nuevo repositorio, los participantes en el desarrollo deben ser parte de la organización PHP. Aquellos que no figuran como desarrolladores de PHP en GitHub deben comunicarse con Nikita Popov por correo electrónico. [email protected]. Además, un requisito obligatorio es habilitar la autenticación de dos factores. Después de obtener los derechos apropiados para cambiar el repositorio, simplemente ejecute el comando "git remoto set-url origin [email protected]:php/php-src.git". Además, se está considerando la cuestión de pasar a la certificación obligatoria de los compromisos con la firma digital del desarrollador. También se propone prohibir la adición directa de cambios que no hayan sido sometidos a revisión previa.
Fuente: opennet.ru