Bu Pazar, 28 Mart, bilgisayar korsanları PHP programlama dilinin dahili Git deposuna erişmeyi başardı ve bunun kaynak koduna bir arka kapı eklemeyi başardı. Tüm web’de en yaygın olarak kullanılan sunucu taraflı dilden bahsediyoruz ve tüm web sitelerinin %79,1’inde kullanımda olduğu tahmin ediliyor.
PHP posta listelerinde açıklandığı gibi, saldırı php-src deposunda iki kötü niyetli değişiklik yaptı ve nedeni hala bilinmemekle birlikte ve bir soruşturma devam ederken, her şey resmi git.php.net sunucusunun güvenliğinin ihlal edildiğini gösteriyor.
Saldırı hızlı bir şekilde tespit edilmesine rağmen, bu büyük bir uyarıdır.
Arka kapı mekanizması ilk olarak Çek Cumhuriyeti’nden bir yazılım mühendisi olan Michael Voříšek tarafından tespit edildi. Bu kötü niyetli kod üretime geçmiş olsaydı, bilgisayar korsanlarının kurbanların sunucularında kendi kötü niyetli PHP komutlarını yürütmesine izin verin.
Bazı uzmanlar, kodda bıraktıkları “mesajlar” nedeniyle saldırganların keşfedilmek isteyebileceğini veya böcek avcısı olduklarını düşünüyor. Olan şu ki, kötü amaçlı kodun yürütülmesini tetiklemek için saldırganın, “zerodium” dizesiyle başlayan bir kullanıcı aracısı ile savunmasız bir sunucuya bir HTTP isteği göndermesi gerekiyordu.
PHP kodunda kötü amaçlı değişiklikler
Zerodium, sıfır gün açıklarını alıp satma konusunda uzmanlaşmış ünlü bir siber güvenlik platformudur. Zerodium zaten bununla hiçbir ilgisi olmadığını belirtti, bu yüzden kodu hackleyen kişinin gizli bir şey aramadığı düşünülüyor, ancak niyetleri bilinmiyor.
Buna ek olarak saldırganlar, yürüttüğü işlevin parametrelerinden birine bir mesaj ekledi: “REMOVETHIS: 2017 ortalarında Zerodyum’a satıldı«. Açıkça, şirket buna dahil oluyor veya buna atıfta bulunuluyor, ancak 2017’de Zerodium’a bir şey satılıp satılmadığını kimse bilmiyor.
Stack Overflow’daki PHP sohbetlerinde çok fazla tahmin var. Bazıları olabileceğini düşünüyor beyaz şapka korsanlığında “zayıf bir girişim”diğerleri bile “tamamen beceriksiz bir senaryo çocuğu”na işaret ediyor.
PHP GitHub’a taşındı
Araştırma devam ederken ve PHP kaynak kodunun daha kapsamlı bir incelemesi devam ederken, kendi Git altyapınızı korumanın gereksiz bir güvenlik riski olduğuna karar verildi ve bu nedenle git.php.net sunucusu kullanımdan kaldırılıyor.
Şu andan itibaren GitHub’daki önceden yalnızca aynalarana olacakbu nedenle değişikliklerin git.php.net yerine doğrudan GitHub’a gönderilmesi gerekecek.
Kaynak koduna eklenen kötü amaçlı kod, PHP’nin çekirdek ekip üyelerinden Rasmus Lerdorf ve Nikita Popov’un hesapları aracılığıyla yapıldı, ancak her ikisi de zaten herhangi bir ilgilerini ifade etmedi. Daha ne, ekip, hesapları için iki faktörlü kimlik doğrulama kullanıyorbu yüzden bazı bireysel hesapların ihlali yerine ana Git sunucusunda önemli bir hata olduğuna inanıyorlar.
Olay hızlı bir şekilde çözülmesine rağmen, uygulamada PHP sunucularını kullanan sistemlerin küçük bir bölümünü etkilerdiçünkü çoğunun en son sürüme güncellenmesi uzun zaman alır.
Bu, İnternet’teki web sitelerinin büyük bir yüzdesinin PHP’nin desteklenmeyen bir sürümünü nasıl kullandığı ve son yıllarda gelişmesine rağmen, uzun süredir web’i rahatsız eden başka bir sorundur. PHP kullanan tüm web sitelerinin neredeyse %40’ı eski ve desteklenmeyen bir sürüm kullanıyor.
{«videoId»:»x80457v»,»autoplay»:true,»title»:»Windows, Mac, Linux’un EN TEHLİKELİ 10 KOMUTU: BİLGİSAYARINIZI YOK edebilirler»}
(function() {window._JS_MODULES = pencere._JS_MODULES || {};var headElement = document.getElementsByTagName(‘head’)[0];if (_JS_MODULES.instagram) {var instagramScript = document.createElement(‘script’);instagramScript.src=”https://platform.instagram.com/en_US/embeds.js”;instagramScript.async = true;instagramScript. erteleme = true;headElement.appendChild(instagramScript);}})();
– Haberler Saldırıya uğramış PHP kaynak kodu deposu: Tüm web sitelerinin neredeyse %80’i tarafından kullanılan dil için güçlü alarm aslen yayınlandı Genbeta Gabriela Gonzalez’in fotoğrafı.
Orijinal kaynağı kontrol edin
Bunu severim:
Yükleniyor…
