Hackers violam o servidor PHP Git e inserem backdoor no código-fonte
Os hackers violaram o principal repositório Git da linguagem de programação PHP, adicionando uma porta dos fundos ao código-fonte que poderia permitir que um invasor acesse milhões de servidores em todo o mundo.
No entanto, por pior que pareça, os hackers também deixaram uma bandeira vermelha gigante para a equipe de desenvolvimento do PHP, presumivelmente como um aviso sobre a vulnerabilidade ao invés de uma exploração direta.
Hackers inserem backdoor no código-fonte do PHP
A equipe de desenvolvimento do PHP divulgou um comunicado oficial confirmando a violação do código-fonte no domingo, 28 de março.
A declaração confirma que o código-fonte do PHP foi realmente violado, com o código malicioso sendo enviado para o servidor PHP Git a partir das contas dos desenvolvedores Rasmus Lerdorf e Nikita Popov.
A porta dos fundos, que ainda não entrou em produção (o que significa que não foi enviada ao vivo para nenhum servidor), teria permitido que um invasor executasse código em qualquer servidor PHP vulnerável. Isso concederia acesso significativo a um ator de ameaça e representaria um perigo significativo para os milhões de sites que usam a linguagem de programação.
No entanto, embora a violação e a exposição da vulnerabilidade sejam ruins, é evidente que o hacker ou hackers nunca tiveram a intenção de que o exploit fosse lançado. Para acionar o código malicioso, um ataque teria que enviar uma solicitação a uma string específica chamada zerodium .
Zerodium é o nome de um conhecido serviço de corretor de exploits, onde os hackers podem vender exploits pelo lance mais alto. A inclusão do nome dá crédito à ideia de que os hackers estavam chamando a atenção para a equipe de desenvolvimento do PHP em vez de explorar ativamente a vulnerabilidade.
Desenvolvimento de PHP com etapas extras de segurança
Como resultado da violação, a equipe de desenvolvimento de PHP mudará a forma como gerencia o acesso a seu servidor Git, tornando seus repositórios GitHub a base de código de fato para o projeto, em vez de apenas um espelho como é atualmente.
Enquanto [a] investigação ainda está em andamento, decidimos que manter nossa própria infraestrutura git é um risco de segurança desnecessário e que iremos descontinuar o servidor git.php.net. Em vez disso, os repositórios no GitHub, que antes eram apenas espelhos, se tornarão canônicos. Isso significa que as alterações devem ser enviadas diretamente para o GitHub em vez de para git.php.net.
Após a troca, aqueles que precisam de acesso aos repositórios PHP terão que entrar em contato diretamente com a equipe de desenvolvimento para fazer uma solicitação.
Embora a equipe de desenvolvimento acredite que a violação foi um comprometimento do próprio servidor Git, em vez de uma conta individual, o desenvolvimento do PHP está tomando medidas adicionais para garantir que não haja mais violações.
De acordo com a W3Techs , cerca de 80 por cento de todos os sites na Internet usam alguma forma de PHP, então as etapas de segurança adicionais são completamente compreensíveis.