Des chercheurs en sécurité annoncent une porte dérobée PHP

Des chercheurs en sécurité annoncent une porte dérobée PHP

Commit Zerodium malveillant. Crédits: GitHub

Le samedi 28 mars 2021, les chercheurs en sécurité Nikita Popov et Rasmus Lerdorf ont annoncé la découverte de deux portes dérobées malveillantes installées sur le référentiel php-src. Les chercheurs soupçonnent que cet incident a quelque chose à voir avec un serveur git.php.net compromis plutôt qu’avec un compte git individuel compromis.

En attendant, alors que l’équipe de recherche travaille pour aller au fond du problème, ils ont considéré que l’utilisation continue de leur propre infrastructure git était un risque inutile et cesseront donc d’utiliser le serveur git.php.net. Désormais, les dépôts associés sur GitHub passeront du statut de miroirs à de véritables dépôts canoniques. En conséquence, toutes les modifications doivent être transmises directement à GitHub plutôt que via git.php.net.

Pour renforcer l’état de sécurité, les utilisateurs du référentiel n’auront désormais qu’un accès en écriture via l’organisation PHP sur GitHub au lieu du système de karma natif du référentiel. Étant donné que l’appartenance à une organisation nécessite l’utilisation d’une authentification à deux facteurs, les utilisateurs qui souhaitent rejoindre le référentiel doivent contacter Nikita directement avec leur compte GitHub et leurs noms de compte php.net ainsi que les autorisations auxquelles ils ont besoin d’accéder.

Enfin, ce changement a rendu impossible la fusion des demandes d’extraction directement depuis l’interface Web de GitHub.

Sur le plan technique, jusqu’à présent, il semble que les attaquants aient acquis des capacités d’exécution de code grâce à la connaissance du mot de passe secret « zerodium ». Les pirates ont utilisé un compte déguisé en tant qu’appartenance au chercheur Lerdorf pour mener à bien cette activité malveillante. Le changement malveillant qui a suivi a été effectué via le nom de compte de Popov.

Zerodium est en fait le nom d’une entreprise qui achète des exploits aux chercheurs et les vend à des agences gouvernementales à des fins d’enquêtes de cybersécurité. Cependant, alors que les deux commits malveillants utilisés pour initier ces changements de code font référence à Zerodium, le PDG Chaouki Bekrar insiste sur le fait que l’organisation n’était pas impliquée. En fait, Bekrar a même suggéré que les chercheurs eux-mêmes voulaient détruire les preuves du commit après l’échec de la vente de la porte dérobée.

Cet incident rappelle un événement similaire au début de 2019, qui impliquait que l’extension PHP et le référentiel d’applications populaires fermaient temporairement la majorité de la plate-forme après avoir constaté que les pirates avaient remplacé le gestionnaire de packages principal par un package malveillant. À l’instar de cet incident le plus récent, les utilisateurs du référentiel concerné qui se sont enregistrés au cours des six derniers mois pourraient être infectés.

Pour l’instant, environ 80% des sites Web fonctionnant sur PHP ne semblent pas avoir exécuté ce commit diabolique dans leurs environnements de production.


Un chercheur pirate 35 grandes entreprises technologiques


Plus d’information:
«Modifications apportées à Git Commit Workflow». PHP, GitHub, 28 mars 2021, news-web.php.net/php.internals/113838

© Réseau Science X 2021

Citation: Des chercheurs en sécurité annoncent une porte dérobée PHP (30 mars 2021) récupérée le 13 avril 2021 sur https://techxplore.com/news/2021-03-php-backdoor.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.