Gestion des risques tiers
,
Sécurité des applications
,
Notification de violation

Un attaquant a ajouté une porte dérobée à un référentiel de code pour le langage de script PHP largement utilisé et open source côté serveur, ont averti les développeurs du projet

Dans une alerte dimanche, le contributeur PHP Nikita Popov a déclaré que des attaquants semblaient avoir infiltré le serveur Git auto-hébergé du projet. Git est un logiciel de contrôle de version open source largement utilisé

Un attaquant a commis deuxcommits malveillants sur Git”, dit Popov dans l’alerte de sécurité Les validations font référence à l’ajout de code “sure” au référentiel de code source d’un projet, afin qu’il soit contenu dans la prochaine distribution

La faille semble avoir été repérée pour la première fois par le développeur Michael Voříšek, qui a posté que si un attaquant envoyait à un site Web utilisant PHP une requête HTTP commençant parzerodium”, cela permettrait à l’attaquant d’exécuter du code arbitraire.

Depuis lundi matin, le code a été restauré à une version précédente qui ne contient pas la porte dérobée On ne sait pas jusqu’à présent si le code a été téléchargé et ajouté à des sites Web publc par quiconque manipule du code bêta. Mais la dernière version stable de PHP à paraître, the version 803, a été publié le 4 mars, bien avant la validation malveillante dimanche

Popov, qui est également un développeur de logiciels se concentrant sur PHP pour la société de développement de logiciels JetBrains, dit qu’un commit malveillant a été fait en son nom et un autre au nom du co-auteur de PHP Rasmus Lerdorf

Tous deux disent qu’ils n’ont pas fait ces commits, et Popov note que les membres principaux de l’équipe du projet étudient actuellement “We don't know exactly how it went yet, but everything indicates a compromise of the net gitphpserver (rather than the compromise of an individual git account) », he says

“While the investigation is still ongoing, we have decided that maintaining our own git infrastructure is an unnecessary security risk, and that we will stop the net gitphpserver “, he adds “Instead of that, deposits on GitHub, that were previously only mirrors, deviendront canoniques Cela signifie que les modifications doivent être transmises directement à GitHub plutôt qu’à gitphprapporter

Popov a émis l’alerte après avoir pris contact avec d’autres membres de l’équipe, en partie via une discussion sur le groupe de support PHP sur Stack Overflow

Je pense que c’est une occasion inestimable de fermer gitphpnet et déclarez le github repos canonique », at-il posté

“Yeah, brûle-le avec le feu, avoir nos propres serveurs git complique tout, c’est une perte de temps dans tous les sens”, a déclaré le contributeur PHP Joe Watkins en réponse «Les faits sont, we [jurons] nuls à garder les choses en sécurité, et devrions passer la main aux professionnels

Popov note que “before, l’accès en écriture aux référentiels était géré via notre système de karma local”, alors que désormais quiconque souhaite contribuer au code devra s’inscrire à l’organisation GitHub de PHP. «L’adhésion à l’organisation nécessite l’activation de 2FA», he says, ce qui signifie que toute personne qui tente de pousser le code devra utiliser l’authentification multifacteur pour valider son identité.

Le code ajouté au référentiel de code source Git au nom de Popov exécute le code PHP à partir de l’en-tête HTTP useragent, if the string begins with ‘zerodium '”, a averti le développeur Michael Voříšek

Le faux commit appelle Zerodium, une société de sécurité basée à Washington qui se spécialise dans l’achat et la vente de vulnérabilités zero-day

In 2017, une faille zero-day dans le PHP a été vendue à Zerodium, comme l’a noté Mikko Hypponen, directeur de la recherche de la société de sécurité finlandaise F-Secure

In other words, celui qui a ajouté le code ne semble pas avoir essayé d’être furtif

C’est étrange, car c’est tellement Freaking évident », déclare un participant sur le forum de discussion Stack Overflow de PHP «C’est le ‘REMOVETHIS: vendu à Zerodium, mi 2017qui m’a confus / inquiet Qu’est-ce qui a été vendu en 2017? “

“Good, je pense que cela aurait pu être un whitehat mal livré, tbqh”, a répondu Sara Golemon, développeur de projet PHP, qui a été responsable de la publication pour les deux versions 72 and current 80 branches de PHP, faisant référence à ce qui aurait pu être les efforts d’un hacker white hat tentant de faire le bienOu un skript-kiddie totalement inepte Difficile à dire parfois

As indicated, les ajouts malveillants au code source PHP avaient été éliminés lundi matin

Popov dit qu’un examen plus approfondi du code source PHP est en cours «Nous examinons les référentiels pour toute corruption au-delà des deux commits référencés», he says. “Veuillez contacter security @ phpnet si vous remarquez quelque chose

Schwartz est un journaliste primé avec deux décennies d’expérience dans les magazines, les journaux et les médias électroniques Il a couvert le secteur de la sécurité de l’information et de la confidentialité tout au long de sa carrière Avant de rejoindre Information Security Media Group en 2014, où il est maintenant rédacteur en chef de DataBreachToday et pour la couverture de l’actualité européenne, Schwartz était le journaliste de la sécurité de l’information pour InformationWeek et un contributeur fréquent à DarkReading, entre autres publications. Il vit en Ecosse

90 minutes · Premium OnDemand

Qu’il s’agisse de risques accrus ou de réglementations accrues, les hauts dirigeants à tous les niveaux sont obligés de
améliorer les capacités de gestion des risques de leurs organisations Mais personne ne leur montre comment
jusqu’à maintenant

Apprenez les principes de base de l’élaboration d’un programme de gestion des risques auprès de l’homme qui a écrit le livre
sur le sujet: Ron Ross, informaticien pour le National Institute of Standards et
La technologie Dans une présentation exclusive, Ross, auteur principal de la publication spéciale NIST 800-37
la bible de l’évaluation et de la gestion des risquespartagera ses idées uniques sur la façon de:

Sr Informaticien & Chercheur en sécurité de l’information,
National Institute of Standards and Technology (NIST)

Besoin d’aide pour vous inscrire? Contactez l’assistance

Besoin d’aide pour vous inscrire? Contactez l’assistance

Besoin d’aide pour vous inscrire? Contactez l’assistance

Notre site Web utilise des cookies Les cookies nous permettent de fournir la meilleure expérience possible et nous aident à comprendre comment les visiteurs utilisent notre site Web En naviguant sur govinfosecuritycom, you agree to our use of cookies

PHP, Git, Backdoor, Code source, Repository, GitHub

News – FR – Un attaquant met à jour le code source PHP pour inclure Backdoor

Source: https://www.govinfosecurity.com/attacker-updates-php-source-code-to-include-backdoor-a-16286

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/