Les pirates informatiques enfreignent le serveur PHP Git et insèrent une porte dérobée dans le code source
Des pirates ont violé le référentiel Git principal du langage de programmation PHP, ajoutant une porte dérobée au code source qui pourrait permettre à un attaquant d'accéder à des millions de serveurs dans le monde.
Cependant, aussi mauvais que cela puisse paraître, les pirates ont également laissé un drapeau rouge géant à l'équipe de développement PHP, probablement comme un avertissement concernant la vulnérabilité plutôt que comme un exploit direct.
Les pirates insèrent une porte dérobée dans le code source PHP
L'équipe de développement PHP a publié un communiqué officiel confirmant la violation du code source le dimanche 28 mars.
La déclaration confirme que le code source PHP a effectivement été violé, le code malveillant étant poussé vers le serveur PHP Git à partir des comptes des principaux développeurs Rasmus Lerdorf et Nikita Popov.
La porte dérobée, qui n'a pas fait son chemin en production (ce qui signifie qu'elle n'a été poussée en direct sur aucun serveur), aurait permis à un attaquant d'exécuter du code sur n'importe quel serveur PHP vulnérable. Cela donnerait un accès significatif à un acteur menaçant et présenterait un danger important pour les millions de sites Web qui utilisent le langage de programmation.
Cependant, bien que la violation et l'exposition de la vulnérabilité soient mauvaises, il est évident que le ou les pirates informatiques n'ont jamais eu l'intention de mettre l'exploit en ligne. Pour déclencher le code malveillant, une attaque devrait envoyer une requête à une chaîne spécifique nommée zerodium .
Zerodium est le nom d'un service de courtage d'exploit bien connu, où les pirates peuvent vendre des exploits au plus offrant. L'inclusion du nom donne du crédit à l'idée que les hackers attiraient l'attention sur l'équipe de développement PHP plutôt que d'exploiter activement la vulnérabilité.
Le développement PHP prend des mesures de sécurité supplémentaires
En raison de la violation, l'équipe de développement PHP modifiera la façon dont elle gère l'accès à son serveur Git, faisant de ses référentiels GitHub la base de code de facto pour le projet, plutôt qu'un simple miroir comme c'est le cas actuellement.
Alors que [l'enquête] est toujours en cours, nous avons décidé que le maintien de notre propre infrastructure git est un risque de sécurité inutile, et que nous arrêterons le serveur git.php.net. Au lieu de cela, les référentiels sur GitHub, qui n'étaient auparavant que des miroirs, deviendront canoniques. Cela signifie que les modifications doivent être transmises directement à GitHub plutôt qu'à git.php.net.
Après le changement, ceux qui ont besoin d'accéder aux référentiels PHP devront contacter directement l'équipe de développement pour faire une demande.
Bien que l'équipe de développement pense que la violation était un compromis du serveur Git lui-même, plutôt qu'un compte individuel, le développement PHP prend à juste titre des mesures supplémentaires pour s'assurer qu'il n'y a pas d'autres violations.
Selon W3Techs , environ 80% de tous les sites sur Internet utilisent une forme de PHP, de sorte que les étapes de sécurité supplémentaires sont tout à fait compréhensibles.