Lograron ingresar al repositorio de Git Interno de PHP

El pasado domingo 28 de marzo, hackers lograron ingresar al repositorio de Git interno del lenguaje de programación PHP y lograron añadir una puerta trasera al código fuente del mismo. Estamos hablando del lenguaje del lado del servidor más usado en toda la web y que se calcula está en uso en el 79.1% de todos los sitios web.

Backdoor

El atacante malicioso envió dos confirmaciones “commits” al repositorio php-src para el popular lenguaje de scripting que contenía una puerta trasera que permitía la ejecución remota de código (RCE), revelaron los mantenedores. Se cree que PHP sustenta casi el 80% de los sitios web, según un estudio de Web Technology Surveys. Esto incluye todos los sitios de WordPress, que se basan en PHP.

Hasta ahora se desconoce quién fue el perpetrador o cómo pudieron publicar las confirmaciones, ya que se cargaron con los nombres legítimos de mantenedores. Sin embargo, se sabe que el actor malintencionado introdujo los cambios en una secuencia denominada “corrección de errores tipográficos”, aparentemente tratando de cubrir sus huellas alegando que estaban haciendo cambios menores en el código.

Commit malintencionado que generá BackDoor

Profundizando, el código en realidad plantó una puerta trasera que abrió la puerta para la toma de control remota de cualquier sitio web que use PHP. El encargado de mantenimiento Nikita Popov escribió en un comunicado que creen que los atacantes encontraron una forma de comprometer el servidor git.php.net en lugar de cualquier cuenta individual.

El equipo detrás de PHP ha descontinuado el servidor git.php.net y los repositorios en GitHub, que anteriormente eran solo espejos, se volverán canónicos, dijeron. Esto significa que los cambios deben enviarse directamente a GitHub en lugar de a git.php.net. Los encargados del mantenimiento ahora están revisando los repositorios en busca de signos de mayor compromiso.

Identidad equivocada

El código malicioso incluye una referencia a “Zerodium”, una empresa estadounidense conocida por comprar exploits de día cero.

Esto ha provocado una conversación en línea mientras la comunidad de ciberseguridad se esfuerza por determinar quién está detrás del ataque.

El usuario de Twitter @LiveOverflow sugirió que la mención podría ser una broma, tuiteando: “¿Cuál es su conjetura con respecto a la referencia” Zerodium “? ¿Solo una broma? ¿O tal vez hablando del error raíz que llevó a [SIC] al compromiso del repositorio? “

Zerodium CEO

El director ejecutivo de Zerodium, Chaouki Bekrar, cerró los rumores de que estaba involucrado, en lugar de señalar a los verdaderos atacantes como “trolls”.

Saludos al troll que puso ‘Zerodium’ en las confirmaciones comprometidas de git PHP de hoy. Obviamente, no tenemos nada que ver con esto.

Probablemente, los investigadores que encontraron este error / exploit trataron de venderlo a muchas entidades, pero ninguno quería comprar esta basura, así que lo quemaron para divertirse

Zerodium CEO

Todavía se está llevando a cabo una investigación sin informes confirmados que apunten a la identidad del atacante.

Fuentes: