Este domingo 28 de marzo, un grupo de hackers logró acceder al repositorio Git interno del lenguaje de programación PHP, uno de los más usados en Internet
29.03.2021 • 18:50hs • Hackers al acecho
Hackers al acecho
Hackeo al código fuente de PHP: por qué es una alarma para el 80% de los sitios web del mundo
Un grupo de hackers logró acceder al repositorio Git interno del lenguaje de programación PHP y logró añadir una puerta trasera al código fuente del mismo. Es el lenguaje del lado del servidor más usado en toda la web y que se calcula está en uso en el 79.1% de todos los sitios web.
Como explican en las listas de correo de PHP, el ataque insertó dos cambios maliciosos en el repositorio php-src, y aunque aún se desconoce la causa y hay una investigación en marcha, todo apunta a que el servidor oficial git.php.net fue comprometido.
Aunque el ataque fue detectado rápido, es una enorme advertencia
El mecanismo de puerta trasera fue detectado por primera vez por Michael Voříšek, un ingeniero de software de República Checa. Si este código malicioso hubiera llegado a producción, podría permitir a los hackers ejecutar sus propios comandos PHP maliciosos en los servidores de las víctimas.
Algunos expertos creen que es posible que los atacantes querían ser descubiertos, o que se trataba de un cazador de bugs por los "mensajes" que dejó en el código. Para poder desencadenar la ejecución del código malicioso, el atacante tenía que enviar una petición HTTP a un servidor vulnerable con un user agent que comenzará con la cadena "zerodium".
Zerodium es una plataforma famosa de ciberseguridad especializada en la adquisición y venta de exploits zero day. Zerodium ya declaró que no tiene nada que ver con esto, por lo que se piensa que quien sea que hackeó el código no buscaba ser nada sutil, pero no se saben sus intenciones.
Además de esto, los atacantes añadieron un mensaje en uno de los parámetros de la función que ejecuta: "REMOVETHIS: sold to zerodium, mid 2017". Claramente se busca implicar o hacer referencia a la empresa en esto, pero nadie sabe si se vendió algo a Zerodium en 2017 ni mucho menos qué fue.
En los chats de PHP en Stack Overflow hay muchas conjeturas. Algunos creen que podría haber sido un "pobre intento" de hacking de sombrero blanco, mientras que otros incluso apuntan a un "skript-kiddie completamente inepto".
PHP mudado a GitHub
Mientras la investigación continúa y se está realizando una revisión más minuciosa del código fuente de PHP, se decidió que el mantenimiento de una infraestructura Git propia es un riesgo de seguridad innecesario y, por lo tanto, el servidor git.php.net se va a descontinuar. A partir de ahora los repositorios en GitHub que antes eran solo mirrors, pasarán a ser los principales, por lo que los cambios deberán enviarse directamente a GitHub en lugar de a git.php.net.
El código malicioso que se añadió al código fuente se hizo a través de las cuentas de dos de los miembros del equipo core de PHP, Rasmus Lerdorf y Nikita Popov, pero ya ambos expresaron no estar involucrados. Además, el equipo usa autenticación de doble factor para sus cuentas, por eso creen que se trató de un fallo crucial en el servidor Git principal en lugar de la violación de alguna cuenta individual.
Aunque el incidente fue resuelto rápidamente, en la práctica hubiese afectado a una pequeña porción de los sistemas que usan servidores PHP, puesto que suele ser usual que la mayoría se tarden mucho tiempo en actualizar a la última versión.
Esto es otro problema que viene plagando a la web hace tiempo, el cómo un enorme porcentaje de las webs en Internet usan una versión de PHP que no tiene soporte, y aunque mejoró en los últimos años, todavía casi el 40% de todas las webs que usan PHP usan una versión antigua y sin soporte.
Fuente: Genbeta.com