Ġew ippubblikati l-ewwel riżultati tal-analiżi ta 'inċident relatat mal-identifikazzjoni ta' żewġ kommessi malizzjużi fir-repożitorju Git ta 'proġett PHP b'backdoor attivat meta tintbagħat talba b'header ta' User Agent iddisinjat apposta. Fil-kors tal-istudju tat-traċċi tal-attivitajiet tal-attakkanti, ġie konkluż li s-server git.php.net innifsu, li fuqu kien jinsab ir-repożitorju tal-git, ma kienx hacked, iżda d-database bil-kontijiet tal-iżviluppaturi tal-proġett ġiet kompromessa .
Huwa possibbli li l-attakkanti setgħu jniżżlu d-database tal-utent maħżuna fid-DBMS fuq is-server master.php.net. Il-kontenut ta 'master.php.net diġà ġie emigrat lejn is-server il-ġdid main.php.net installat mill-bidu. Il-passwords kollha tal-iżviluppatur użati biex jaċċessaw l-infrastruttura php.net ġew reset u l-proċess ta 'tibdilhom inbeda permezz ta' formola speċjali għall-irkupru tal-password. Ir-repożitorji git.php.net u svn.php.net jibqgħu jinqraw biss (l-iżvilupp ġie mċaqlaq għal GitHub).
Wara s-sejba tal-ewwel impenn malizzjuż li sar permezz tal-kont ta’ Rasmus Lerdorf, il-fundatur tal-PHP, kien preżunt li l-kont tiegħu kien ġie hacked u Nikita Popov, wieħed mill-iżviluppaturi ewlenin tal-PHP, reġġa’ lura l-bidliet u bblokka d-drittijiet tal-kommit għal il-kont problematiku. Wara xi żmien, waslet ir-realizzazzjoni li l-imblukkar ma kienx jagħmel sens, peress li mingħajr verifika ta 'kommetti bl-użu ta' firma diġitali, kull parteċipant b'aċċess għar-repożitorju php-src jista 'jagħmel bidla billi jissostitwixxi isem tal-awtur fittizju.
Sussegwentement, l-attakkanti bagħtu kommit malizzjuż f'isem Nikita nnifsu. Bl-analiżi tar-reġistri tas-servizz gitolite, użat biex jorganizza l-aċċess għar-repożitorji, sar tentattiv biex jiġi ddeterminat il-parteċipant li fil-fatt għamel il-bidliet. Minkejja l-inklużjoni tal-kontabilità għall-kommessi kollha, ma kien hemm l-ebda daħliet fil-ġurnal għal żewġ bidliet malizzjużi. Deher ċar li kien hemm kompromess tal-infrastruttura, peress li l-kommessi ġew miżjuda direttament, billi qabżet il-konnessjoni permezz tal-gitolite.
Is-server git.php.net ġie diżattivat fil-pront, u r-repożitorju primarju ġie trasferit għal GitHub. Bil-għaġla, intesa li biex taċċessa r-repożitorju, minbarra SSH bl-użu ta 'gitolite, kien hemm input ieħor li jippermettilek tibgħat impenji permezz ta' HTTPS. F'dan il-każ, il-git-http-backend intuża biex jinteraġixxi ma 'Git, u l-awtentikazzjoni saret bl-użu tas-server Apache2 HTTP, li vverifika l-kredenzjali billi jaċċessa d-database ospitat fid-DBMS fuq is-server master.php.net. Il-login kien permess mhux biss biċ-ċwievet, iżda wkoll b'password regolari. Analiżi tar-logs tas-server http kkonfermat li bidliet malizzjużi ġew miżjuda permezz ta 'HTTPS.
Meta studjaw ir-zkuk, ġie żvelat li l-attakkanti ma qablux l-ewwel darba, iżda inizjalment ippruvaw isibu l-isem tal-kont, iżda wara li identifikawh, illoggjaw mal-ewwel prova, i.e. kienu jafu l-passwords ta’ Rasmus u Nikita minn qabel, iżda ma kinux jafu l-logins tagħhom. Jekk l-attakkanti setgħu jiksbu aċċess għad-DBMS, mhuwiex ċar għaliex ma użawx immedjatament il-login korrett speċifikat hemmhekk. Din id-diskrepanza għadha ma rċevietx spjegazzjoni affidabbli. Il-hack ta 'master.php.net huwa meqjus bħala x-xenarju l-aktar probabbli, peress li dan is-server uża kodiċi antik ħafna u OS skadut, li kien ilu ma ġiex aġġornat u kellu vulnerabbiltajiet mhux patched.
L-azzjonijiet meħuda jinkludu l-installazzjoni mill-ġdid tal-ambjent tas-server master.php.net u t-trasferiment ta 'skripts għall-verżjoni l-ġdida ta' PHP 8. Il-kodiċi biex taħdem mad-DBMS ġie modifikat biex juża mistoqsijiet parametrizzati li jikkomplikaw is-sostituzzjoni tal-kodiċi SQL. L-algoritmu bcrypt jintuża biex jaħżen il-hashes tal-password fid-database (preċedentement, il-passwords kienu maħżuna bl-użu ta 'hash MD5 mhux affidabbli). Il-passwords eżistenti jiġu ssettjati mill-ġdid u inti mitlub li tissettja password ġdida permezz tal-formola għall-irkupru tal-password. Peress li l-aċċess għar-repożitorji git.php.net u svn.php.net permezz ta' HTTPS kien marbut ma' hashes MD5, ġie deċiż li jitħallew git.php.net u svn.php.net fil-modalità ta' qari biss, u wkoll iċċaqlaq kollha dawk li fadal għalihom ir-repożitorji tal-estensjoni tal-PECL fuq GitHub, simili għar-repożitorju ewlieni tal-PHP.
Sors: opennet.ru