dans

Dépôt de code source PHP piraté: alarme sonore pour le langage utilisé par près de 80% de tous les sites Web

Ce dimanche 28 mars les pirates ont réussi à accéder au référentiel Git interne du langage de programmation PHP et ils ont réussi à ajouter une porte dérobée au code source de celui-ci. Nous parlons du langage côté serveur le plus utilisé sur l’ensemble du Web et qui est estimé utilisé par 79,1% de tous les sites Web.

Comme expliqué sur les listes de diffusion PHP, l’attaque a inséré deux modifications malveillantes dans le référentiel php-src, et bien que la cause soit encore inconnue et qu’une enquête soit en cours, tout indique que le serveur officiel git.php.net est compromis.


Bien que l’attaque ait été détectée rapidement, c’est un énorme avertissement

Le mécanisme de la porte arrière a été détecté pour la première fois par Michael Voříšek, un ingénieur logiciel de la République tchèque. Si ce code malveillant était entré en production, il pourrait permettre aux pirates d’exécuter leurs propres commandes PHP malveillantes sur les serveurs des victimes.

Quelques experts ils pensent qu’il est possible que les attaquants aient voulu être découverts, ou que ce soit un chasseur de bogues à cause des « messages » qu’il a laissés dans le code. Ce qui se passe, c’est que pour déclencher l’exécution du code malveillant, l’attaquant a dû envoyer une requête HTTP à un serveur vulnérable avec un agent utilisateur commençant par la chaîne « zerodium ».

Modifications malveillantes du code PHP

Zerodium est une célèbre plateforme de cybersécurité spécialisée dans l’acquisition et la vente d’exploits zero day. Zerodium a déjà déclaré que cela n’avait rien à voir avec cela, donc on pense que quiconque a piraté le code ne cherchait pas à être quelque chose de subtil, mais leurs intentions sont inconnues.

A lire :  Cet ordinateur est contrôlé par les mouvements de la langue

En plus de cela, les attaquants ont ajouté un message dans l’un des paramètres de la fonction qu’il exécute: « REMOVETHIS: vendu à Zerodium, mi 2017« Il est clair que l’intention est d’impliquer ou de faire référence à la société dans tout cela, mais personne ne sait si quelque chose a été vendu à Zerodium en 2017, et encore moins ce que c’était.

Dans les discussions PHP sur Stack Overflow, il y a beaucoup de conjectures. Certains pensent que cela aurait pu être une « mauvaise tentative » de piratage au chapeau blanc, tandis que d’autres pointent même vers un «script-kiddie complètement inepte».

PHP déplacé vers GitHub

Php

Au fur et à mesure que les recherches se poursuivent et qu’un examen plus approfondi du code source PHP est en cours, il a été décidé que la maintenance de votre propre infrastructure Git est un risque de sécurité inutile et donc le serveur git.php.net va être interrompu.

Désormais, les dépôts sur GitHub qui n’étaient auparavant que miroirs, deviendra le principalles modifications devront donc être envoyées directement sur GitHub au lieu de git.php.net.

Le code malveillant qui a été ajouté au code source a été créé par le biais des comptes de deux des membres de l’équipe centrale de PHP, Rasmus Lerdorf et Nikita Popov, mais ils ont déjà déclaré ne pas être impliqués. En outre, l’équipe utilise l’authentification à deux facteurs pour ses comptesIls pensent donc que c’était un bogue crucial sur le serveur Git principal plutôt que la violation d’un compte individuel.

A lire :  Apple paiera 3,4 millions de dollars aux consommateurs dans le cadre d'un procès pour obsolescence programmée des iPhones au Chili

Bien que l’incident ait été rapidement résolu, dans la pratique aurait affecté une petite partie des systèmes utilisant des serveurs PHP, car il est habituel pour la plupart d’entre eux de mettre beaucoup de temps à se mettre à jour vers la dernière version.

C’est un autre problème qui sévit depuis longtemps sur le Web, comment un pourcentage énorme des sites Web sur Internet utilisent une version de PHP qui n’est pas prise en charge, et bien qu’elle se soit améliorée ces dernières années, elle près de 40% de tous les sites Web qui utilisent PHP utilisent une version ancienne et non prise en charge.

45secondes est un nouveau média, n’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🙂

  • HAGER Clavier de commande SEPIO RLF620X - Hager
    Clavier de commande pour alarme Sepio NOUVEAU Permet de commander la protection intrusion depuis l’intérieur de l’habitation par radio Twinband®. Les commandes clavier sont accessibles à partir du code maître. Les + Retour d'information visuel et sonore. Gestion des accès par code. Gestion de groupes et