WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Dữ liệu người dùng PHP bị hack qua backdoor mã nguồn
PHP vừa phát hành bản cập nhật xử lý sự cố an ninh có thể đã cho phép kẻ tấn công đánh cắp cơ sở dữ liệu người dùng chứa mật khẩu để thực hiện các thay đổi trái phép đối với kho lưu trữ.
Nhà nghiên cứu Nikita Popov của PHP cho hay: "Chúng tôi tin máy chủ git.php.net không bị xâm phạm, nhưng rất có thể cơ sở dữ liệu người dùng master.php.net đã bị rò rỉ".
Ngày 28/3, những kẻ tấn công không xác định đã sử dụng các tên Rasmus Lerdorf và Popov để đẩy các tệp độc hại đến kho "php-src" được lưu trữ trên máy chủ git.php.net, bao gồm cả việc thêm một backdoor vào mã nguồn PHP.
Ban đầu, đây giống một cuộc tấn công vào máy chủ git.php.net, tuy nhiên khi tìm hiểu kỹ sẽ thấy các tệp này được đẩy vào bằng cách sử dụng HTTPS và xác thực dựa trên mật khẩu, khiến Popov nghi ngờ về việc cơ sơ dữ liệu người dùng master.php.net bị rò rỉ.
"Đáng chú ý là kẻ tấn công chỉ phỏng đoán một số tên người dùng và xác thực thành công khi đã tìm thấy tên chính xác. Tuy không có bất kỳ bằng chứng cụ thể nào, nhưng có thể giải thích là cơ sở dữ liệu người dùng của master.php.net đã bị rò rỉ, dù không rõ lý do tại sao kẻ tấn công cần phải đoán tên người dùng".
Ngoài ra, hệ thống xác thực master.php.net hoạt động trên một hệ điều hành rất cũ và là một phiên bản PHP. Điều này làm tăng khả năng bị kẻ tấn công khai thác lỗ hổng trong phần mềm.
Do vậy, hãng đã chuyển master.php.net sang hệ thống main.php.net mới có hỗ trợ TLS 1.2, đồng thời đặt lại tất cả mật khẩu hiện có và lưu trữ bằng bcrypt thay vì hàm băm MD5 thuần túy.
Ngày 28/3, những kẻ tấn công không xác định đã sử dụng các tên Rasmus Lerdorf và Popov để đẩy các tệp độc hại đến kho "php-src" được lưu trữ trên máy chủ git.php.net, bao gồm cả việc thêm một backdoor vào mã nguồn PHP.
Ban đầu, đây giống một cuộc tấn công vào máy chủ git.php.net, tuy nhiên khi tìm hiểu kỹ sẽ thấy các tệp này được đẩy vào bằng cách sử dụng HTTPS và xác thực dựa trên mật khẩu, khiến Popov nghi ngờ về việc cơ sơ dữ liệu người dùng master.php.net bị rò rỉ.
"Đáng chú ý là kẻ tấn công chỉ phỏng đoán một số tên người dùng và xác thực thành công khi đã tìm thấy tên chính xác. Tuy không có bất kỳ bằng chứng cụ thể nào, nhưng có thể giải thích là cơ sở dữ liệu người dùng của master.php.net đã bị rò rỉ, dù không rõ lý do tại sao kẻ tấn công cần phải đoán tên người dùng".
Ngoài ra, hệ thống xác thực master.php.net hoạt động trên một hệ điều hành rất cũ và là một phiên bản PHP. Điều này làm tăng khả năng bị kẻ tấn công khai thác lỗ hổng trong phần mềm.
Do vậy, hãng đã chuyển master.php.net sang hệ thống main.php.net mới có hỗ trợ TLS 1.2, đồng thời đặt lại tất cả mật khẩu hiện có và lưu trữ bằng bcrypt thay vì hàm băm MD5 thuần túy.
Nguồn: The Hacker News