Els pirates informàtics infringeixen el servidor PHP Git i insereixen una porta posterior al codi font

Els pirates informàtics infringeixen el servidor PHP Git i insereixen una porta posterior al codi font

Els pirates informàtics han incomplert el dipòsit principal de Git del llenguatge de programació PHP, afegint una porta posterior al codi font que podria permetre l'accés d'un atacant a milions de servidors a tot el món.



pokemon sol i lluna val la pena

Tanmateix, per molt dolent que sembli, els pirates informàtics també van deixar una bandera vermella gegant per a l’equip de desenvolupament de PHP, presumiblement com una advertència sobre la vulnerabilitat més que com una explotació directa.



Els pirates informàtics insereixen la porta posterior al codi font de PHP

L'equip de desenvolupament de PHP va publicar una declaració oficial confirmant l’incompliment del codi font el diumenge 28 de març.





La declaració confirma que el codi font de PHP es va incomplir, ja que el codi maliciós es va enviar al servidor PHP Git des dels comptes dels desenvolupadors principals Rasmus Lerdorf i Nikita Popov.

La porta del darrere, que no ha entrat en producció (és a dir, que no s’ha enviat a cap servidor), hauria permès a un atacant executar codi en qualsevol servidor PHP vulnerable. Oferiria un accés significatiu a un actor amenaçador i presentaria un perill significatiu per als milions de llocs web que utilitzen el llenguatge de programació.



Relacionat: Com manipular text en PHP amb aquestes útils funcions

Tanmateix, tot i que l’incompliment i l’exposició de la vulnerabilitat són dolents, és evident que el pirata informàtic o els pirates informàtics mai no tenien intenció que l’explotació es publiqués. Per activar el codi maliciós, un atac hauria d'enviar una sol·licitud a una cadena específica anomenada zerodi .

Zerodium és el nom d’un conegut servei d’intermediació d’explotats, on els pirates informàtics poden vendre exploits al millor postor. La inclusió del nom dóna credibilitat a la idea que els pirates informàtics cridaven l'atenció a l'equip de desenvolupament de PHP en lloc d'explotar activament la vulnerabilitat.

Relacionat: Apreneu a distribuir els vostres paquets PHP amb Packagist

El desenvolupament de PHP segueix passos de seguretat addicionals

Com a conseqüència de l’incompliment, l’equip de desenvolupament de PHP canviarà la manera com gestiona l’accés al seu servidor Git, convertint els seus dipòsits GitHub en la base de codi de facto del projecte, en lloc de ser només un mirall tal com és actualment.

com gravar una trucada telefònica en un iPhone

Tot i que [la] investigació encara està en marxa, hem decidit que mantenir la nostra pròpia infraestructura git és un risc de seguretat innecessari i que deixarem el servidor git.php.net. En canvi, els dipòsits de GitHub, que abans només eren rèpliques, esdevindran canònics. Això vol dir que els canvis s'han d'enviar directament a GitHub en lloc de a git.php.net.

Després del canvi, aquells que necessitin accés als repositoris PHP hauran de contactar directament amb l'equip de desenvolupament per fer una sol·licitud.

Tot i que l’equip de desenvolupament creu que l’incompliment va ser un compromís del propi servidor Git, en lloc d’un compte individual, el desenvolupament de PHP està prenent mesures addicionals per assegurar-se que no hi hagi altres incompliments.

la millor aplicació de teclat gran per a Android

D'acord amb W3Techs , al voltant del 80 per cent de tots els llocs d'Internet utilitzen algun tipus de PHP, de manera que els passos de seguretat addicionals són completament comprensibles.

Compartir Compartir Tweet Correu electrònic Com construir el vostre primer lloc web PHP senzill

Voleu crear un lloc web però no sabeu per on començar? La creació d’un lloc web bàsic de PHP us posarà en el camí cap al desenvolupament web.

Llegiu a continuació
Temes relacionats
  • Seguretat
  • Notícies tècniques
  • Programació
  • GitHub
  • PHP
  • Porta del darrere
Sobre l'autor Gavin Phillips(945 articles publicats)

Gavin és l'editor júnior de Windows and Technology Explained, col·laborador habitual del Podcast Really Useful i revisor de productes habitual. Té un BA (Hons) Contemporary Writing with Digital Art Practices saquejat des dels turons de Devon, així com més d’una dècada d’experiència en escriptura professional. Li agrada una gran quantitat de te, jocs de taula i futbol.

Més de Gavin Phillips

Subscriu-te al nostre butlletí

Uniu-vos al nostre butlletí per obtenir consells tècnics, ressenyes, llibres electrònics gratuïts i ofertes exclusives.

Feu clic aquí per subscriure-us