Ġew ippubblikati l-ewwel riżultati tal-analiżi ta 'inċident relatat mal-identifikazzjoni ta' żewġ kommessi malizzjużi fir-repożitorju Git ta 'proġett PHP b'backdoor attivat meta tintbagħat talba b'header ta' User Agent iddisinjat apposta. Fil-kors tal-istudju tat-traċċi tal-attivitajiet tal-attakkanti, ġie konkluż li s-server git.php.net innifsu, li fuqu kien jinsab ir-repożitorju tal-git, ma kienx hacked, iżda d-database bil-kontijiet tal-iżviluppaturi tal-proġett ġiet kompromessa .
Huwa possibbli li l-attakkanti setgħu jniżżlu d-database tal-utent maħżuna fid-DBMS fuq is-server master.php.net. Il-kontenut ta 'master.php.net diġà ġie emigrat lejn is-server il-ġdid main.php.net installat mill-bidu. Il-passwords kollha tal-iżviluppatur użati biex jaċċessaw l-infrastruttura php.net ġew reset u l-proċess ta 'tibdilhom inbeda permezz ta' formola speċjali għall-irkupru tal-password. Ir-repożitorji git.php.net u svn.php.net jibqgħu jinqraw biss (l-iżvilupp ġie mċaqlaq għal GitHub).
Wara s-sejba tal-ewwel impenn malizzjuż li sar permezz tal-kont ta’ Rasmus Lerdorf, il-fundatur tal-PHP, kien preżunt li l-kont tiegħu kien ġie hacked u Nikita Popov, wieħed mill-iżviluppaturi ewlenin tal-PHP, reġġa’ lura l-bidliet u bblokka d-drittijiet tal-kommit għal il-kont problematiku. Wara xi żmien, waslet ir-realizzazzjoni li l-imblukkar ma kienx jagħmel sens, peress li mingħajr verifika ta 'kommetti bl-użu ta' firma diġitali, kull parteċipant b'aċċess għar-repożitorju php-src jista 'jagħmel bidla billi jissostitwixxi isem tal-awtur fittizju.
Sussegwentement, l-attakkanti bagħtu kommit malizzjuż f'isem Nikita nnifsu. Bl-analiżi tar-reġistri tas-servizz gitolite, użat biex jorganizza l-aċċess għar-repożitorji, sar tentattiv biex jiġi ddeterminat il-parteċipant li fil-fatt għamel il-bidliet. Minkejja l-inklużjoni tal-kontabilità għall-kommessi kollha, ma kien hemm l-ebda daħliet fil-ġurnal għal żewġ bidliet malizzjużi. Deher ċar li kien hemm kompromess tal-infrastruttura, peress li l-kommessi ġew miżjuda direttament, billi qabżet il-konnessjoni permezz tal-gitolite.
Is-server git.php.net ingħalaq malajr, u r-repożitorju primarju tmexxa għal GitHub. Fl-għaġla, injorat li, minbarra l-aċċess SSH bl-użu ta' gitolite, kien hemm login ieħor għar-repożitorju, li jippermetti li l-commits jintbagħtu permezz ta' HTTPS. F'dan il-każ, il-git-http-backend intuża għall-interazzjoni ma' Git, u l-awtentikazzjoni twettqet bl-użu tas-server HTTP Apache2, li vverifika l-permessi billi aċċessa database ospitata fuq server master.php.net. Il-login kien permess mhux biss bl-użu taċ-ċwievet iżda wkoll bl-użu ta' password regolari. L-analiżi tal-logs tas-server HTTP ikkonfermat li l-bidliet malizzjużi ġew miżjuda permezz tal-HTTPS.
Eżami tal-logs żvela li l-attakkanti ma kkonnettjawx fl-ewwel tentattiv, iżda l-ewwel ippruvaw jaħsbu l-isem tal-kont. Wara li identifikawh, illoggjaw fl-ewwel tentattiv. Dan ifisser li kienu jafu l-passwords ta’ Rasmus u Nikita minn qabel, iżda mhux l-usernames tagħhom. Jekk l-attakkanti setgħu jaċċessaw id-DBMS, mhux ċar għaliex ma użawx immedjatament l-username korrett speċifikat hemmhekk. Din id-diskrepanza għad trid tiġi spjegata b’mod affidabbli. Il-hacking ta’ master.php.net huwa kkunsidrat l-aktar xenarju probabbli, peress li f’dan il-ħin... server Intuża kodiċi antik ħafna u sistema operattiva skaduta, li ma kinitx ġiet aġġornata għal żmien twil u kellha vulnerabbiltajiet mhux irranġati.
L-azzjonijiet meħuda jinkludu l-installazzjoni mill-ġdid tal-ambjent tas-server master.php.net u t-trasferiment ta 'skripts għall-verżjoni l-ġdida ta' PHP 8. Il-kodiċi biex taħdem mad-DBMS ġie modifikat biex juża mistoqsijiet parametrizzati li jikkomplikaw is-sostituzzjoni tal-kodiċi SQL. L-algoritmu bcrypt jintuża biex jaħżen il-hashes tal-password fid-database (preċedentement, il-passwords kienu maħżuna bl-użu ta 'hash MD5 mhux affidabbli). Il-passwords eżistenti jiġu ssettjati mill-ġdid u inti mitlub li tissettja password ġdida permezz tal-formola għall-irkupru tal-password. Peress li l-aċċess għar-repożitorji git.php.net u svn.php.net permezz ta' HTTPS kien marbut ma' hashes MD5, ġie deċiż li jitħallew git.php.net u svn.php.net fil-modalità ta' qari biss, u wkoll iċċaqlaq kollha dawk li fadal għalihom ir-repożitorji tal-estensjoni tal-PECL fuq GitHub, simili għar-repożitorju ewlieni tal-PHP.
Sors: opennet.ru
