image

Aanvallers versturen malafide code naar officiële PHP Git-repository

maandag 29 maart 2021, 10:21 door Redactie, 10 reacties

Aanvallers zijn erin geslaagd om malafide code naar de officiële Git-repository van programmeertaal PHP te sturen. Hoe dit precies kon gebeuren wordt nog onderzocht, maar alles lijkt erop te wijzen dat de aanvallers hebben ingebroken op de server van git.php.net. Daarvoor waarschuwt ontwikkelaar Nikita Popov op de PHP-mailinglist. Git is een populaire oplossing voor softwareontwikkelaars om code van een lokale repository naar een remote Git-repository te krijgen. Zo kunnen meerdere programmeurs aan de code werken.

In totaal werden er twee commits met malafide code naar de "php-src" Git-repository verstuurd. Deze commits leken afkomstig van PHP-ontwikkelaars Rasmus Lerdorf en Nikita Popov. Het onderzoek naar de aanval loopt nog, maar het PHP-ontwikkelteam stelt dat beheer van de eigen Git-infrastructuur een onnodig beveiligingsrisico vormt en er is besloten om te stoppen met de git.php.net-server.

Voortaan wordt code voor PHP direct naar de repositories op GitHub verstuurd. Deze respositories fungeerden eerder nog alleen als mirror. Dit houdt in dat ontwikkelaars die bijdragen aan PHP nu onderdeel van de PHP-organisatie op GitHub moeten zijn om hun code naar de repositories te versturen. Naast de twee ontdekte malafide commits wordt nog onderzocht of de aanvallers andere aanpassingen hebben doorgevoerd.

Volgens Bleeping Computer bevatten de twee malafide commits een backdoor waarmee aanvallers toegang tot websites kunnen krijgen die van de gecompromitteerde PHP-versie gebruikmaken.

Reacties (10)
29-03-2021, 10:32 door Anoniem
Alles wat Microsoft verwerft (en dus ook Github) krijgt vroeg of laat met malafide code te maken.
Waarom zou dat nou toch zo zijn? Iemand een idee?

Misschien bestaat er geen enkel verband en verzin ik deze relatie maar. Edoch, verdacht blijft het.

#sockpuppet
29-03-2021, 10:48 door Anoniem
PHP flame door Krakatau in 3, 2, 1 ...
29-03-2021, 11:11 door Anoniem
Al draait git zelf natuurlijk niet op PHP, ik vind het wel ongemakkelijk dat makers van software die op eindeloos veel servers draait het zelf beheren en beveiligen van een server kennelijk te moeilijk vinden. Een git-server is in mijn ogen een stuk overzichtelijker dan een webserver met een PHP-applicatie.
29-03-2021, 11:52 door Anoniem
Is dit wellicht gerelateerd?
- https://nvd.nist.gov/vuln/detail/CVE-2021-22192

If so, more to come?
29-03-2021, 11:57 door Anoniem
Door Anoniem: Alles wat Microsoft verwerft (en dus ook Github) krijgt vroeg of laat met malafide code te maken.
Waarom zou dat nou toch zo zijn? Iemand een idee?

Misschien bestaat er geen enkel verband en verzin ik deze relatie maar. Edoch, verdacht blijft het.

#sockpuppet

Ze maakten gebruik van een zelf-hosted git server, deze vlieger gaat dus nu niet op. Ze stappen nu juist over naar github.
29-03-2021, 11:59 door Briolet
Door Anoniem: Alles wat Microsoft verwerft (en dus ook Github) krijgt vroeg of laat met malafide code te maken.
Waarom zou dat nou toch zo zijn? Iemand een idee?

Je hebt het niet goed gelezen. De malafide code is juist niet naar GitHub verstuurd maar naar de eigen Git server. Er wordt nergens vermeld dat deze code ook al doorgestuurd is naar de GitHub repositories.

Er blijkt wel uit dat ze meer vertrouwen hebben in de beveiliging van GitHub en dat ze dus met de eigen servers stoppen. Blijkbaar hebben ze geen zin om extra beveiliging (2FA?) in te bouwen in hun eigen systeem.
29-03-2021, 12:04 door Anoniem
Door Anoniem: Alles wat Microsoft verwerft (en dus ook Github) krijgt vroeg of laat met malafide code te maken.
Waarom zou dat nou toch zo zijn? Iemand een idee?

Misschien bestaat er geen enkel verband en verzin ik deze relatie maar. Edoch, verdacht blijft het.

#sockpuppet
Security is tegenwoordig best wel topprio bij Microsoft maar de meeste producten zijn dermate oud van design dat het vechten tegen de bierkaai is. Ik weet niet of ze die ouwe meuk ook naar Github hebben gesleept. Ik denk het eigenlijk niet.
29-03-2021, 13:03 door Anoniem
Door Anoniem: Alles wat Microsoft verwerft (en dus ook Github) krijgt vroeg of laat met malafide code te maken.
Waarom zou dat nou toch zo zijn? Iemand een idee?

Misschien bestaat er geen enkel verband en verzin ik deze relatie maar. Edoch, verdacht blijft het.

#sockpuppet


Git is een versiebeheersysteem en niet van Microsoft. Github is een website die hosting aanbiedt voor projecten die gebruik maken van Git versiebeheer. Github is in handen van Microsoft.

PHP heeft in dit geval een eigen server waar ze Git gebruiken. Het heeft dus absoluut niets met elkaar te maken.
29-03-2021, 20:10 door Anoniem
Door Anoniem: Is dit wellicht gerelateerd?
- https://nvd.nist.gov/vuln/detail/CVE-2021-22192

If so, more to come?
Ik zie nergens staan dat men gitlab gebruikte, er wordt alleen over git zelf gesproken. Vermoedelijk is het dus ongerelateerd.

En wist je dat het een piepkleine moeite is om een link klikbaar te maken? Je hoeft er maar 11 tekens extra voor in te typen. Ik heb het even voor je gedaan. Had je een goede reden om dat over te slaan?
29-03-2021, 20:58 door Anoniem
Door Anoniem:
Door Anoniem: Alles wat Microsoft verwerft (en dus ook Github) krijgt vroeg of laat met malafide code te maken.
Waarom zou dat nou toch zo zijn? Iemand een idee?

Misschien bestaat er geen enkel verband en verzin ik deze relatie maar. Edoch, verdacht blijft het.

#sockpuppet
Security is tegenwoordig best wel topprio bij Microsoft maar de meeste producten zijn dermate oud van design dat het vechten tegen de bierkaai is. Ik weet niet of ze die ouwe meuk ook naar Github hebben gesleept. Ik denk het eigenlijk niet.

oh? *kuch* exchange *proest*
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.