WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Máy chủ Git của PHP bị tấn công để chèn backdoor vào mã nguồn
Tin tặc tấn công máy chủ Git của ngôn ngữ lập trình PHP để đưa vào các bản cập nhật trái phép, từ đó chèn backdoor vào mã nguồn của ngôn ngữ này. Đây được xem là một cuộc tấn công chuỗi cung ứng.
Hai bản cập nhật chứa mã độc đã được đưa vào "php-src" lưu trữ trên máy chủ git.php.net, mạo danh tên của Rasmus Lerdorf, tác giả của ngôn ngữ lập trình và Nikita Popov, nhà phát triển phần mềm tại Jetbrains.
Có thể các tin tặc đã thực hiện việc thay đổi vào ngày 28/3.
Nhà phát triển Popov cho biết: “Chúng tôi vẫn chưa xác định được nguyên nhân, nhưng có khả năng sự cố bắt nguồn từ việc một máy chủ git.php.net bị tấn công”.
Các thay đổi, được ghi chú là "Sửa lỗi đánh máy" để tránh bị phát hiện, có liên quan đến các điều khoản thực thi tùy ý mã PHP. "Dòng này thực thi mã PHP từ bên trong header HTTP useragent, nếu chuỗi bắt đầu bằng 'zerodium'," nhà phát triển PHP Jake Birchall cho biết.
Ngoài việc loại bỏ các bản cập nhật, nhóm nghiên cứu PHP cũng đang rà soát để phát hiện thêm bất kỳ lỗi nào trong các kho lưu trữ. Vẫn chưa xác định được liệu cơ sở mã giả mạo đã được các bên khác tải xuống và phân phối trước khi các các chuyên gia phát hiện và sửa lỗi hay chưa.
Sau sự cố, nhóm chuyên gia phát triển PHP đang thực hiện một số thay đổi, bao gồm chuyển mã nguồn sang GitHub. Trong tương lai, các bản cập nhật sẽ được đưa trực tiếp sang GitHub chứ không qua git.php.net. Các nhà phát triển khi đóng góp cho dự án PHP sẽ phải đăng ký có tham gia vào nhóm PHP trên GitHub.
Những thay đổi trên diễn ra gần hai tháng sau khi các nhà nghiên cứu có thể mô phỏng tấn công chuỗi cung ứng được thiết kế để thực thi mã bên trong hệ thống xây dựng phần mềm nội bộ của mục tiêu tấn công.
Hai bản cập nhật chứa mã độc đã được đưa vào "php-src" lưu trữ trên máy chủ git.php.net, mạo danh tên của Rasmus Lerdorf, tác giả của ngôn ngữ lập trình và Nikita Popov, nhà phát triển phần mềm tại Jetbrains.
Có thể các tin tặc đã thực hiện việc thay đổi vào ngày 28/3.
Nhà phát triển Popov cho biết: “Chúng tôi vẫn chưa xác định được nguyên nhân, nhưng có khả năng sự cố bắt nguồn từ việc một máy chủ git.php.net bị tấn công”.
Ngoài việc loại bỏ các bản cập nhật, nhóm nghiên cứu PHP cũng đang rà soát để phát hiện thêm bất kỳ lỗi nào trong các kho lưu trữ. Vẫn chưa xác định được liệu cơ sở mã giả mạo đã được các bên khác tải xuống và phân phối trước khi các các chuyên gia phát hiện và sửa lỗi hay chưa.
Sau sự cố, nhóm chuyên gia phát triển PHP đang thực hiện một số thay đổi, bao gồm chuyển mã nguồn sang GitHub. Trong tương lai, các bản cập nhật sẽ được đưa trực tiếp sang GitHub chứ không qua git.php.net. Các nhà phát triển khi đóng góp cho dự án PHP sẽ phải đăng ký có tham gia vào nhóm PHP trên GitHub.
Những thay đổi trên diễn ra gần hai tháng sau khi các nhà nghiên cứu có thể mô phỏng tấn công chuỗi cung ứng được thiết kế để thực thi mã bên trong hệ thống xây dựng phần mềm nội bộ của mục tiêu tấn công.
Theo The Hacker News