Ciberdelincuentes atacaron el servidor Git oficial del lenguaje de programación PHP, “git.php.net”, enviaron actualizaciones no autorizadas y así introdujeron una puerta trasera secreta en el código. En consecuencia, los atacantes podrían acceder a millones de servidores a escala global.
Las investigaciones indican que los cambios se realizaron el 28 de marzo, los ciberdelincuentes enviaron las solicitudes de la amenaza bajo la identidad de Rasmus Lerdorf, autor del lenguaje de programación, y Nikita Popov, quien un desarrollador de software en Jetbrains. Alojaron la vulnerabilidad en el repositorio autohospeado “php-src”, que a su vez está instalado en el servidor “git.php.net”.
La puerta trasera le da acceso al atacante de ejecutar el código en cualquier servidor PHP vulnerable.
Los cambios realizados en el servidor fueron plasmados como “Fix Typo” para evitar ser detectados como una corrección tipográfica, estos incluían disposiciones para la ejecución arbitraria del código PHP. Una vez los atacantes realizarán este proceso para introducir la vulnerabilidad, los usuarios la activan enviando una solicitud a una cadena específica llamada zerodium.
En contraste con el nombre elegido por los atacantes, Zerodium es una de las compañías con más renombre dedicadas a la recopilación de Zero-Day Exploits de alto impacto y riesgo, encontrados en los productos y dispositivos con software más populares.
Todavía no se tienen reportes de que la vulnerabilidad está siendo explotada, es decir, no ha sido enviada a ningún servidor. Según cifras de otros reportes alrededor del 70% y 80% de las páginas web usan este lenguaje de programación.
En esa misma línea, la compañía está revisando los repositorios en busca de otros daños. Además, los técnicos de PHP están reestructurando su red interna, migrando del repositorio de código fuente a GitHub, lo que enviara los cambios directamente a GitHub, en lugar de a git.php.net.
Fuente:
Redacción propia.