Gestion des risques tiers
,
Sécurité des applications
,
Notification de violation

Un attaquant a ajouté une porte dérobée à un référentiel de code pour le langage de script PHP largement utilisé et open source côté serveur, ont averti les développeurs du projet

Dans une alerte dimanche, le contributeur PHP Nikita Popov a déclaré que des attaquants semblaient avoir infiltré le serveur Git auto-hébergé du projet. Git est un logiciel de contrôle de version open source largement utilisé

Un attaquant a commis deux “commits malveillants sur Git”, dit Popov dans l’alerte de sécurité Les validations font référence à l’ajout de code “sûr” au référentiel de code source d’un projet, afin qu’il soit contenu dans la prochaine distribution

La faille semble avoir été repérée pour la première fois par le développeur Michael Voříšek, qui a posté que si un attaquant envoyait à un site Web utilisant PHP une requête HTTP commençant par “zerodium”, cela permettrait à l’attaquant d’exécuter du code arbitraire.

Depuis lundi matin, le code a été restauré à une version précédente qui ne contient pas la porte dérobée On ne sait pas jusqu’à présent si le code a été téléchargé et ajouté à des sites Web publc par quiconque manipule du code bêta. Mais la dernière version stable de PHP à paraître, la version 803, a été publié le 4 mars, bien avant la validation malveillante dimanche

Popov, qui est également un développeur de logiciels se concentrant sur PHP pour la société de développement de logiciels JetBrains, dit qu’un commit malveillant a été fait en son nom et un autre au nom du co-auteur de PHP Rasmus Lerdorf

Tous deux disent qu’ils n’ont pas fait ces commits, et Popov note que les membres principaux de l’équipe du projet étudient actuellement “Nous ne savons pas encore exactement comment cela s’est passé, mais tout indique un compromis du gitphpserveur net (plutôt que le compromis d’un compte git individuel) », dit-il

“Alors que l’enquête est toujours en cours, nous avons décidé que la maintenance de notre propre infrastructure git est un risque de sécurité inutile, et que nous arrêterons le gitphpserveur net “, ajoute-t-il “Au lieu de cela, les dépôts sur GitHub, qui n’étaient auparavant que des miroirs, deviendront canoniques Cela signifie que les modifications doivent être transmises directement à GitHub plutôt qu’à gitphprapporter”

Popov a émis l’alerte après avoir pris contact avec d’autres membres de l’équipe, en partie via une discussion sur le groupe de support PHP sur Stack Overflow

“Je pense que c’est une occasion inestimable de fermer gitphpnet et déclarez le github repos canonique », at-il posté

“Ouais, brûle-le avec le feu, avoir nos propres serveurs git complique tout, c’est une perte de temps dans tous les sens”, a déclaré le contributeur PHP Joe Watkins en réponse «Les faits sont, nous [jurons] nuls à garder les choses en sécurité, et devrions passer la main aux professionnels”

Popov note que “auparavant, l’accès en écriture aux référentiels était géré via notre système de karma local”, alors que désormais quiconque souhaite contribuer au code devra s’inscrire à l’organisation GitHub de PHP. «L’adhésion à l’organisation nécessite l’activation de 2FA», dit-il, ce qui signifie que toute personne qui tente de pousser le code devra utiliser l’authentification multifacteur pour valider son identité.

“Le code ajouté au référentiel de code source Git au nom de Popov exécute le code PHP à partir de l’en-tête HTTP useragent, si la chaîne commence par ‘zerodium'”, a averti le développeur Michael Voříšek

Le faux commit appelle Zerodium, une société de sécurité basée à Washington qui se spécialise dans l’achat et la vente de vulnérabilités zero-day

En 2017, une faille zero-day dans le PHP a été vendue à Zerodium, comme l’a noté Mikko Hypponen, directeur de la recherche de la société de sécurité finlandaise F-Secure

En d’autres termes, celui qui a ajouté le code ne semble pas avoir essayé d’être furtif

“C’est étrange, car c’est tellement Freaking évident », déclare un participant sur le forum de discussion Stack Overflow de PHP «C’est le ‘REMOVETHIS: vendu à Zerodium, mi 2017’ qui m’a confus / inquiet Qu’est-ce qui a été vendu en 2017? “

“Bien, je pense que cela aurait pu être un whitehat mal livré, tbqh”, a répondu Sara Golemon, développeur de projet PHP, qui a été responsable de la publication pour les deux versions 72 et actuel 80 branches de PHP, faisant référence à ce qui aurait pu être les efforts d’un hacker white hat tentant de faire le bien “Ou un skript-kiddie totalement inepte Difficile à dire parfois”

Comme indiqué, les ajouts malveillants au code source PHP avaient été éliminés lundi matin

Popov dit qu’un examen plus approfondi du code source PHP est en cours «Nous examinons les référentiels pour toute corruption au-delà des deux commits référencés», dit-il. “Veuillez contacter security @ phpnet si vous remarquez quelque chose”

Schwartz est un journaliste primé avec deux décennies d’expérience dans les magazines, les journaux et les médias électroniques Il a couvert le secteur de la sécurité de l’information et de la confidentialité tout au long de sa carrière Avant de rejoindre Information Security Media Group en 2014, où il est maintenant rédacteur en chef de DataBreachToday et pour la couverture de l’actualité européenne, Schwartz était le journaliste de la sécurité de l’information pour InformationWeek et un contributeur fréquent à DarkReading, entre autres publications. Il vit en Ecosse

90 minutes · Premium OnDemand

Qu’il s’agisse de risques accrus ou de réglementations accrues, les hauts dirigeants à tous les niveaux sont obligés de
améliorer les capacités de gestion des risques de leurs organisations Mais personne ne leur montre comment –
jusqu’à maintenant

Apprenez les principes de base de l’élaboration d’un programme de gestion des risques auprès de l’homme qui a écrit le livre
sur le sujet: Ron Ross, informaticien pour le National Institute of Standards et
La technologie Dans une présentation exclusive, Ross, auteur principal de la publication spéciale NIST 800-37
– la bible de l’évaluation et de la gestion des risques – partagera ses idées uniques sur la façon de:

Sr Informaticien & Chercheur en sécurité de l’information,
Institut national des normes et de la technologie (NIST)

Besoin d’aide pour vous inscrire? Contactez l’assistance

Besoin d’aide pour vous inscrire? Contactez l’assistance

Besoin d’aide pour vous inscrire? Contactez l’assistance

Notre site Web utilise des cookies Les cookies nous permettent de fournir la meilleure expérience possible et nous aident à comprendre comment les visiteurs utilisent notre site Web En naviguant sur govinfosecuritycom, vous acceptez notre utilisation des cookies

PHP, Git, Backdoor, Code source, Repository, GitHub

Actualités – FR – Un attaquant met à jour le code source PHP pour inclure Backdoor

Source: https://www.govinfosecurity.com/attacker-updates-php-source-code-to-include-backdoor-a-16286

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/