Los piratas informáticos violan el servidor PHP Git e insertan una puerta trasera en el código fuente
Los piratas informáticos han violado el repositorio principal de Git del lenguaje de programación PHP, agregando una puerta trasera al código fuente que podría permitir que un atacante acceda a millones de servidores en todo el mundo.
Sin embargo, por muy malo que parezca, los piratas informáticos también dejaron una bandera roja gigante para el equipo de desarrollo de PHP, presumiblemente como una advertencia sobre la vulnerabilidad más que como una explotación directa.
Los piratas informáticos insertan una puerta trasera en el código fuente PHP
El equipo de desarrollo de PHP publicó una declaración oficial confirmando la violación del código fuente el domingo 28 de marzo.
La declaración confirma que el código fuente PHP fue efectivamente violado, y el código malicioso fue enviado al servidor PHP Git desde las cuentas de los desarrolladores principales Rasmus Lerdorf y Nikita Popov.
La puerta trasera, que no ha entrado en producción (lo que significa que no se ha enviado en vivo a ningún servidor), habría permitido a un atacante ejecutar código en cualquier servidor PHP vulnerable. Otorgaría un acceso significativo a un actor de amenazas y presentaría un peligro significativo para los millones de sitios web que usan el lenguaje de programación.
Sin embargo, si bien la infracción y la exposición de la vulnerabilidad son malas, es evidente que el pirata informático o los piratas informáticos nunca tuvieron la intención de que el exploit se activara. Para activar el código malicioso, un ataque tendría que enviar una solicitud a una cadena específica llamada zerodium .
Zerodium es el nombre de un conocido servicio de corredores de exploits, donde los piratas informáticos pueden vender exploits al mejor postor. La inclusión del nombre da crédito a la idea de que los piratas informáticos estaban llamando la atención sobre el equipo de desarrollo de PHP en lugar de explotar activamente la vulnerabilidad.
El desarrollo de PHP toma medidas de seguridad adicionales
Como resultado de la violación, el equipo de desarrollo de PHP cambiará la forma en que administra el acceso a su servidor Git, haciendo que sus repositorios GitHub sean la base de código de facto para el proyecto, en lugar de solo un espejo como es actualmente.
Mientras [la] investigación aún está en curso, hemos decidido que mantener nuestra propia infraestructura git es un riesgo de seguridad innecesario, y que descontinuaremos el servidor git.php.net. En cambio, los repositorios en GitHub, que anteriormente eran solo espejos, se volverán canónicos. Esto significa que los cambios deben enviarse directamente a GitHub en lugar de a git.php.net.
Después del cambio, aquellos que requieran acceso a los repositorios de PHP deberán comunicarse directamente con el equipo de desarrollo para realizar una solicitud.
Aunque el equipo de desarrollo cree que la violación fue un compromiso del servidor Git en sí, en lugar de una cuenta individual, el desarrollo de PHP está tomando medidas adicionales para garantizar que no haya más violaciones.
Según W3Techs , alrededor del 80 por ciento de todos los sitios en Internet utilizan algún tipo de PHP, por lo que los pasos de seguridad adicionales son completamente comprensibles.