De ontwikkelaars van het PHP-project waarschuwden voor het compromitteren van de Git-repository van het project en de ontdekking van twee kwaadaardige commits die op 28 maart aan de php-src-repository waren toegevoegd namens Rasmus Lerdorf, de oprichter van PHP, en Nikita Popov, een van de belangrijkste ontwikkelaars van PHP.
Omdat er geen vertrouwen is in de betrouwbaarheid van de server waarop de Git-repository werd gehost, besloten de ontwikkelaars dat het op zichzelf onderhouden van de Git-infrastructuur extra veiligheidsrisico's met zich meebracht en verplaatsten ze de referentierepository naar het GitHub-platform, dat naar verwachting zal worden gebruikt. als de primaire. Alle wijzigingen moeten nu naar GitHub worden verzonden, en niet naar git.php.net. Ook tijdens het ontwikkelen kunt u nu de GitHub-webinterface gebruiken.
Bij de eerste kwaadwillige commit, onder het mom van het herstellen van een typefout in het bestand ext/zlib/zlib.c, werd een wijziging aangebracht waardoor de PHP-code werd uitgevoerd die in de HTTP-header van de User Agent werd doorgegeven als de inhoud begon met het woord "zerodium ". Nadat de ontwikkelaars de kwaadwillige wijziging hadden opgemerkt en deze hadden teruggedraaid, verscheen er een tweede commit in de repository, die de actie van de PHP-ontwikkelaars om de kwaadwillige wijziging ongedaan te maken, ongedaan maakte.
De toegevoegde code bevat de regel “REMOVETHIS: sold to zerodium, mid 2017”, wat erop kan wijzen dat de code sinds 2017 een andere, goed gecamoufleerde, kwaadwillige wijziging bevat, of een niet-gecorrigeerde kwetsbaarheid die is verkocht aan Zerodium, een bedrijf dat 0-day-producten koopt kwetsbaarheden (Zerodium antwoordde dat het geen informatie over de PHP-kwetsbaarheid had gekocht).
Op dit moment is er geen gedetailleerde informatie over het incident; er wordt alleen aangenomen dat de wijzigingen zijn toegevoegd als gevolg van het hacken van de git.php.net-server, en niet het compromitteren van individuele ontwikkelaarsaccounts. Er is begonnen met het analyseren van de repository op de aanwezigheid van andere kwaadaardige wijzigingen naast de geïdentificeerde problemen. Iedereen wordt uitgenodigd om deze te beoordelen; als er verdachte wijzigingen worden gedetecteerd, kunt u informatie sturen naar [e-mail beveiligd].
Wat betreft de transitie naar GitHub: om schrijftoegang tot de nieuwe repository te krijgen, moeten ontwikkelingsdeelnemers deel uitmaken van de PHP-organisatie. Degenen die niet als PHP-ontwikkelaars op GitHub vermeld staan, moeten per e-mail contact opnemen met Nikita Popov [e-mail beveiligd]. Bovendien is het een verplichte vereiste om tweefactorauthenticatie in te schakelen. Nadat je de juiste rechten hebt verkregen om de repository te wijzigen, voer je gewoon het commando “git remote set-url origin [e-mail beveiligd]:php/php-src.git". Daarnaast wordt de kwestie van de overstap naar verplichte certificering van commits met een digitale handtekening van de ontwikkelaar overwogen. Ook wordt voorgesteld om de directe toevoeging van wijzigingen die nog niet eerder zijn beoordeeld, te verbieden.
Bron: opennet.ru