Máy chủ ngôn ngữ kịch bản ứng dụng web PhP đã bị xâm phạm vào Chủ nhật.

Dự án PHP hôm Chủ nhật đã thông báo rằng những kẻ tấn công có thể đã truy cập vào máy chủ Git chính của họ và tải lên hai cam kết độc hại, bao gồm một cửa hậu. Chúng được phát hiện trước khi công bố cho cộng đồng.

PHP là một ngôn ngữ kịch bản mã nguồn mở được sử dụng rộng rãi thường để phát triển ứng dụng web. Và có thể được nhúng vào HTML. Các cam kết đã được đẩy đến kho lưu trữ php-src, do đó cung cấp cho những kẻ tấn công cơ hội trong chuỗi cung ứng để lây nhiễm các trang web nhận mã độc tin rằng chúng là hợp pháp.

Cả hai cam kết được tuyên bố là “sửa lỗi đánh máy” trong mã nguồn. Chúng được tải lên bằng cách sử dụng tên của những người bảo trì PHP, Rasmus Lerdorf và Nikita Popov, theo một thông báo được Popov gửi đến danh sách gửi thư của dự án vào Chủ nhật. Anh ấy nói thêm rằng anh ấy không nghĩ rằng đó là trường hợp đánh cắp thông tin xác thực đơn giản.

“Chúng tôi vẫn chưa biết chính xác điều này đã xảy ra như thế nào, nhưng mọi thứ đều hướng tới sự thỏa hiệp của máy chủ git.php.net (chứ không phải là sự xâm phạm của một tài khoản git cá nhân),” ông giải thích.

Để đối phó với vụ tấn công dự án PHP đang chuyển các máy chủ của mình sang GitHub. “Trong khi cuộc điều tra vẫn đang được tiến hành, chúng tôi đã quyết định rằng việc duy trì cơ sở hạ tầng git của riêng mình là một rủi ro bảo mật không cần thiết và chúng tôi sẽ ngừng cung cấp máy chủ git.php.net”, Popov giải thích. “Thay vào đó, các kho lưu trữ trên GitHub, trước đây chỉ là bản sao lưu. Điều này có nghĩa là các thay đổi được đẩy trực tiếp đến GitHub thay vì tới git.php.net… Thay đổi này cũng có nghĩa là giờ đây có thể hợp nhất các yêu cầu kéo trực tiếp từ giao diện web GitHub. ”

Ông cũng lưu ý rằng PHP đang xem xét tất cả các kho lưu trữ của nó để tìm bất kỳ lỗi nào ngoài hai cam kết đã được tìm thấy.

Craig Young, nhà nghiên cứu bảo mật chính tại Tripwire, cho biết: “Chúng tôi rất may mắn rằng các hành vi độc hại đã được phát hiện trước khi đến các hệ thống sản xuất. “Nếu chúng không bị phát hiện, mã cuối cùng có thể đã đầu độc các kho lưu trữ gói nhị phân mà vô số tổ chức dựa vào và tin tưởng. Các dự án mã nguồn mở tự lưu trữ kho mã của họ có thể có nguy cơ gia tăng đối với loại tấn công chuỗi cung ứng này và phải có các quy trình mạnh mẽ để phát hiện và từ chối các hành vi đáng ngờ ”.

Vũ khí hóa chuỗi cung ứng phần mềm

Việc sử dụng các kho mã nguồn mở như một phương tiện để xâm nhập các trang web và ứng dụng không phải là hiếm.

Ví dụ, vào tháng 3, các nhà nghiên cứu đã phát hiện các gói độc hại nhắm mục tiêu vào các ứng dụng nội bộ cho Amazon, Lyft, Slack và Zillow (trong số những người khác) bên trong kho lưu trữ mã công khai npm – tất cả đều lấy cắp thông tin nhạy cảm.  Trong khi đó, vào tháng 1, ba gói phần mềm độc hại đã được xuất bản lên npm, giả mạo là hợp pháp bằng cách sử dụng brandjacking. Các nhà nghiên cứu cho biết, bất kỳ ứng dụng nào bị mã này làm hỏng đều có thể lấy cắp mã thông báo và thông tin khác từ người dùng Discord.

Và vào tháng 12, RubyGems, một kho lưu trữ và quản lý gói mã nguồn mở cho ngôn ngữ lập trình web Ruby, đã đưa hai trong số các gói phần mềm của mình vào ngoại tuyến sau khi chúng bị phát hiện có dính phần mềm độc hại. [Theo TP/Security365]

MOBISEC 1 – Khóa Học Trực Tuyến Hackinh Android