Sélectionner une page


Jessica Haworth

29 mars 2021 à 12h00 UTC

Mis à jour: 30 mars 2021 à 12h30 UTC

Le langage de script est victime de cyberattaques

Le référentiel PHP Git a été compromis après que des attaquants ont inséré une porte dérobée dans le code source

Un acteur inconnu compromis le dépôt officiel de PHP Git hier soir (28 mars) publiant du code de porte dérobée sous le couvert d’une modification mineure.

L’attaquant malveillant a effectué deux validations dans le dépôt pour le langage de script populaire qui contenait une porte dérobée Exécution de code à distance ((RCE), ont révélé les responsables.

Selon PHP, PHP prendrait en charge près de 80% des sites Web une étude des enquêtes sur la technologie Web. Cela inclut tous les sites WordPress basés sur PHP.

On ne sait pas encore qui était le coupable ou comment il a réussi à publier les commits car ils ont été téléchargés sous les noms de responsables légitimes.

Cependant, l’acteur malveillant est connu pour avoir déplacé les modifications sous un système en amont appelé «Corriger les fautes de frappe» et semble avoir tenté de couvrir leurs traces en affirmant avoir apporté des modifications mineures au code.

En savoir plus sur les dernières nouvelles sur l’exécution de code à distance

Le code a creusé plus profondément et a en fait planté une porte dérobée qui a ouvert la porte à la prise de contrôle à distance d’un site Web utilisant PHP.

Le responsable Nikita Popov a écrit dans une explication Ils pensent que les attaquants ont trouvé un moyen en compromettant le serveur git.php.net et non un compte individuel.

L’équipe derrière PHP a arrêté le serveur git.php.net et les référentiels GitHubCe qui n’était autrefois que des miroirs devient canonique, ont-ils dit.

Cela signifie que les modifications doivent être transmises directement à GitHub, pas à git.php.net.

Les responsables recherchent maintenant dans les référentiels des signes de nouveaux compromis.

Fausse identité

Le code malveillant contient des références à « Zerodium », une société américaine connue pour son achat Zéro jour Exploits.

Qui a a commencé une conversation en ligne alors que la communauté de la cybersécurité a du mal à déterminer qui est derrière l’attaque.

L’utilisateur de Twitter @LiveOverflow a suggéré que la mention pourrait être une blague et a tweeté: «Quel est votre conseil sur la référence« Zerodium »? Je rigole? Ou peut-être parler du défaut de base qui y a conduit [SIC] au compromis repo? « 

LIS PHP a été supprimé du programme de prime aux bogues Internet – mais les administrateurs du langage de script n’ont « jamais été impliqués » dès le début

Chaodki Bekrar, PDG de Zerodium, a clos les rumeurs selon lesquelles il s’agissait d’un enjeu et a plutôt désigné les vrais attaquants comme des « trolls ».

elles ou ils a écrit: « Bravo au troll qui a inclus ‘Zerodium’ dans le compromis PHP-Git d’aujourd’hui. Évidemment, nous n’avons rien à voir avec cela.

« Les chercheurs qui ont trouvé ce bug / exploit ont probablement essayé de le vendre à de nombreuses entreprises, mais personne ne voulait acheter cette merde, alors ils l’ont brûlé pour le plaisir. »

Une enquête est en cours sans aucun rapport confirmé suggérant l’identité de l’attaquant.

La gorgée quotidienne a demandé à Popov un commentaire et mettra à jour cet article en conséquence.

TU POURRAIS AUSSI AIMER GitHub attribue 25000 $ à Bug Bounty Hunter pour le rapport de vol de secrets d’actions





Source link

Recent Posts