Hackers infiltran Servidores de PHP para inyectar un backdoor en el código fuente del Lenguaje de Programación

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

En un reciente ataque de cadena de suministro los actores de amenazas lograron comprometer el repositorio en Github oficial de PHP, manipulando la base del código para enviar confirmaciones maliciosas al repositorio php-sc Git, mantenido por los desarrolladores del repositorio en su servidor git.pho.net.

Al parecer, los hackers maliciosos firmaron estas confirmaciones como si hubiesen sido desarrolladas por Rasmus Ledorf y Nikita Popov, mantenedores oficiales de PHP.

Para la comunidad de la ciberseguridad este es un severo problema, ya que PHP sigue siendo el lenguaje de programación del lado del servidor más popular del mundo, operando en alrededor del 795 de los sitios web de todo el mundo.

En las confirmaciones maliciosas, los actores de amenazas publicaron un cambio misterioso en sentido ascendente, realizando los cambios maliciosos con el pretexto de que se trataba de una pequeña corrección tipográfica: “Al analizar la línea 370 agregada donde se llama a la función zend_eval_string, el código en realidad entrega un backdoor para realizar ejecución remota de código (RCE) de forma fácil en un sitio web que ejecuta las versiones vulnerables de PHP”, menciona el reporte.

Al respecto, el desarrollador de PHP Nikita Popov mencionó: “La primera confirmación fue encontrada apenas unas horas después de ser realizada como parte de las revisiones de rutina; se detectó el origen malicioso de estos cambios y se revirtieron de inmediato.” Estos cambios fueron realizados con la firma del creador de PHP Rasmus Ledorf.

Esto realmente no es algo fuera de lo común, ya que con los sistemas de control de versiones de código fuente como Git, es posible firmar una confirmación como proveniente de cualquier otra persona localmente y luego cargar la confirmación falsificada en el servidor Git remoto, dando la impresión de que ha sido firmada por un usuario autorizado.

Como medida de seguridad, los mantenedores de PHP decidieron migrar el repositorio oficial de código fuente PHP a GitHub: “Si bien la investigación aún está en curso, hemos decidido que mantener nuestra propia infraestructura git es un riesgo de seguridad innecesario, y que descontinuaremos el servidor git.php.net; finalmente, los repositorios en GitHub, que antes eran solo espejos, se volverán canónicos”, concluye el mensaje de los mantenedores.

A partir de ahora, aquellos interesados en contribuir al proyecto PHP deberán ser agregados como parte de la organización PHP en GitHub. Las instrucciones sobre eso se proporcionan en el mismo anuncio de seguridad. Cabe señalar que para ser miembro de la organización, debe tener habilitada la autenticación de dos factores (2FA) en su cuenta de GitHub.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

Info | Noticias Seguridad