O repositório de código-fonte de uma das linguagens de programação mais usadas por sites, o PHP foi hackeado e deixa em alerta os usuários da linguagem que faz parte de quase 80% de todos os sites no mundo. O acesso dos hackers ocorreu no domingo (28/03). Eles conseguiram acessar o repositório Git interno da linguagem de programação PHP e adicionar um backdoor ao seu código-fonte. Estamos a falar da linguagem do lado do servidor mais utilizada em toda a web e que se estima que seja utilizada em 79,1% de todos os sites.
Conforme explicado nas listas de discussão do PHP, o ataque inseriu duas alterações maliciosas no repositório php-src e, embora a causa ainda seja desconhecida e haja uma investigação em andamento, tudo aponta para o servidor oficial git.php.net.
Apesar da detecção rápida, fica o aviso
O mecanismo da backdoor surgiu pela primeira vez em pesquisas de Michael Vo?íšek, um engenheiro de software da República Tcheca. Se esse código malicioso tivesse entrado em produção, poderia permitir que hackers executassem seus próprios comandos PHP maliciosos nos servidores das vítimas .
Alguns especialistas acreditam que é possível que os invasores quisessem ser descobertos ou que fosse um caçador de bugs por causa das “mensagens” que ele deixou no código. O que acontece é que, para desencadear a execução do código malicioso, o invasor teve que enviar uma solicitação HTTP a um servidor vulnerável com um agente de usuário começando com a string “zerodium”.
Zerodium é uma famosa plataforma de segurança cibernética especializada na aquisição e venda de exploits de dia zero. A Zerodium já afirmou que não tem nada a ver com isso, então quem hackeou o código não estava procurando ser discreto. No entanto, não se conhecem as reais intenções.
Além disso, os atacantes adicionaram uma mensagem em um dos parâmetros da função que executa: “REMOVETHIS: sold to zerodium, mid 2017“. É claramente a intenção de implicar ou referir-se à empresa nisso. No entanto, ninguém sabe se vendeu algo para o Zerodium em 2017, muito menos o que foi.
Em chats PHP no Stack Overflow, há muitas suposições. Alguns acreditam que pode ter sido uma “tentativa pobre” de hackear chapéu branco , enquanto outros até apontam para um “script kiddie completamente inepto”.
Repositório de código-fonte PHP hackeado e deixa em alerta usuários da linguagem usada por quase 80% de todos os sites. PHP mudou para GitHub
Conforme a pesquisa continua e uma revisão mais completa do código-fonte do PHP está sendo realizada, a equipe tomou uma decisão. Eles consideram que manter sua própria infraestrutura Git é um risco de segurança desnecessário e, portanto, o servidor git.php.net está sendo descontinuado.
De agora em diante, os repositórios do GitHub que antes eram apenas espelhos, se tornarão os principais. Assim, as alterações devem irão diretamente para o GitHub em vez de para git.php.net.
O código malicioso no código-fonte ocorreu através das contas de dois dos membros da equipe principal do PHP, Rasmus Lerdorf e Nikita Popov. Entretanto, eles já expressaram não estar envolvidos. Além disso, a equipe usa autenticação de dois fatores para as contas, motivo pelo qual eles acreditam que foi uma falha crucial no servidor Git principal, em vez da violação de alguma conta individual.
Além de resolverem o incidente rapidamente, na prática ele afetou uma pequena parte dos sistemas que usam servidores PHP. Isso porque é comum que a maioria demore muito para atualizar para a versão mais recente.
Este é outro problema que aflige a web há muito tempo. Pelo menos 40% de todos os sites usam uma versão antiga e sem suporte do PHP.
Genbeta
