Hacker Violano il server GIT git.php.net ed introducono una backdoor nel codice sorgente

L’attacco

Anche PHP è entrato nel mirino degli hacker del web, vittima dell’attacco un server GIT. Stando alle informazioni divulgate attraverso il comunicato ufficiale di PHP due commit dannosi sono stati inviati come Nikita Popov e Rasmus Lerdorf compromettendo git.php.net.
Da subito la decisione di PHP di interrompere il server e di inviare eventuali future modifiche a GitHub anziché a git.php.net.

I due commit malevoli sono stati inseriti nel codice sorgente come “fix typo”, ossia spacciandoli per semplici correzioni ortografiche apportate dagli sviluppatori.

Inoltre nel codice era stata inserita anche l’istruzione zend_eval_string utilizzata dall’attaccante per installare la backdoor che gli avrebbe poi consentito di eseguire codice da remoto (RCE, Remote Code Execution) su qualunque sito Web avesse eseguito il codice manomesso.

Probabilmente il recente attacco alla Orion di SolarWinds ha messo in guardia PHP che, da subito, è intervenuta per limitare i danni dell’attacco hacker. Di fatti il recente attacco agli enti governativi degli Stati Uniti e quello a PHP sembrano avere la stessa matrice. Anche nel caso di SolarWinds la vulnerabilità della piattaforma aveva permesso di modificare il codice sorgente permettendo agli hacker di eseguire il codice direttamente da remoto.

Come scongiurare questo tipo di attacchi

La prima richiesta di PHP ai suoi utenti è stata quella di utilizzare GitHub per modifiche o di entrare a far parte dell’organizzazione qualora non se ne facessero parte.

L’enorme vantaggio nell’utilizzare piattaforme come GitHub o CodeCommit è che, quasi sempre, la superficie d’attacco si ridurrebbe al mero furto delle credenziali dal PC della vittima. Mentre, nel caso di PHP, è stata sfruttata una vulnerabilità di Git, o una sua configurazione “troppo permissiva”.

Amazon Web Services offre il servizio CodeCommit che prende in carico la sicurezza del repository Git. I clienti generalmente utilizzano dei repository privati, non visibili al pubblico nemmeno in sola lettura. CodeCommit si integra con AWS IAM per la gestione degli accessi attraverso utenti, ruoli, gruppi e policy di accesso. Una corretta gestione di questi elementi permette di mantenere sicuro l’accesso al repository (sempre previo furto di credenziali e password). Inoltre CodeCommit non permette l’utilizzo di repository pubblici come GitHub o GitLab, o un proprio server Git.
Quindi nel caso di PHP non sarebbe stato utilizzabile perché è un software libero che deve poter essere visibile dalla comunità.

Anche la piattaforma Fantacalcio.it è tra i clienti che utilizza con successo servizi come AWS CodeCommit.
Share This