Hace algunas horas, un grupo de atacantes ha logrado ingresar al repositorio Git interno de PHP. Este lenguaje representa casi el 80% de uso en los sitios web alrededor del mundo.
Esta vulneración al repositorio principal ha tenido como consecuencia el agregado de una puerta trasera al código fuente.
Una vulneración como la que hemos visto el pasado 28 de marzo 2021, fue detectada por el ingeniero checo Michael Voříšek. Determinó que afectó a el repositorio, sin embargo, el «backdoor» no llegó a producción De haberlo hecho, podría permitir a los atacantes ejecutar sus propios comandos PHP maliciosos en todos los servidores vulnerados de los usuarios.
Debido al tipo de ataque y a su rapidez, se cree que los atacantes deseaban ser descubiertos o en su defecto eran un grupo de cazadores de bugs.
¿Todos los servidores con PHP están en peligro?
Para poder «accionar» el ataque, el atacante deberá de enviar una petición HTTP a un servidor vulnerable, con un user agent que iniciara con la cadena «zerodium».
En la vulneración, los atacantes agregaron un mensaje «REMOVETHIS: sold to zerodium, mid 2017«. Se cree que con este mensaje buscan implicar a una empresa en específico, aunque los datos no son totalmente claros.
¿Quién es Zerodium?
Zerodium es una empresa de ciberseguridad, que se especializa en la compra y venta de exploits zero day.
Como este mensaje afecta directamente a su reputación, la empresa ha declarado que no tiene nada que ver con el ataque, por lo que no se saben las intensiones del atacante al hacer esta referencia.
¿Cuáles son las medidas que se tomarán para la seguridad de PHP?
Mientras el personal de PHP mantiene una investigación activa, ya se está realizando una revisión detallada del código fuente de PHP. Una de las implementaciones que tendrán a corto plazo es descontinuar el servidor git.php.net.
Anteriormente los repositorios de GitHub eran utilizados únicamente como mirrors, sin embargo, ahora serán utilizados como principales. Los cambios dejarán de enviarse a git.php.net y ahora se enviarán a GitHub.
Los añadidos maliciosos fueron realizados a través de un par de cuentas de miembros autorizados del core de PHP (Rasmus Lerdorf y Nikita Popov). Estos han declarado que no han tenido participación en esta vulneración.
Aunque este problema fue solucionado de manera rápida, si esto estuviera en un ambiente de producción hubiera afectado a una pequeña parte de los sistemas que utilizan los usuarios con este lenguaje.
Debe estar conectado para enviar un comentario.