Toon posts:

Aanvallers plaatsen backdoormogelijkheid in PHP

Pagina: 1
Acties:

maandag 29 maart 2021 11:43

Acties:
  • 0 Henk 'm!
  • mrdemc
  • Registratie: Juni 2010
  • Laatst online: 01:06

mrdemc

Topicstarter
Artikel: nieuws: Aanvallers plaatsen backdoormogelijkheid in PHP via infectie van Git-...
Auteur: @TijsZonderH
De websites zouden dan een PHP-upgrade hebben moeten uitgevoerd nadat de achterdeur werd geplaatst. Aanvallers konden in dat geval op een kwetsbare site een http-request sturen om vervolgens controle over de website te krijgen. Het is niet duidelijk hoeveel websites precies zijn geïnfecteerd. Het lek is inmiddels weer gedicht.
Aangezien het gaat om een commit op de 'master' branch van PHP-8 en om een commit van gisteren die 5 uur later al werd teruggedraaid is de kans nihiel dat het op een productie-server draait. dat is hier te zien:
https://github.com/php/php-src/commits/master
Als je met de muis op de datum gaat staan ('yesterday' of 'x hours ago') dan krijg je de exacte tijd te zien.
Sowieso draait (normaal gesproken) geen enkele webserver op een laatste commit van een master branch.
De programmeurs zeggen niet te te weten hoe dat precies kon gebeuren, maar zeggen dat 'alles erop wijst' dat de Git-server git.php.net is aangevallen, en de commits niet vanuit bijvoorbeeld een geïnfecteerd Git-account zijn gedaan. De developers benadrukken dat iedere ontwikkelaar verplicht tweestapsverificatie moet aanzetten.
Het 2FA dat de developers benadrukken, gaat over de github organisation waarnaar ze verhuizen en gaat niet over de huidige git.php.net server.
Opvallend is dat de exploit alleen kon worden uitgevoerd als de http-header begon met de string zerodium. Zerodium is een bekend bedrijf dat geld betaalt voor het aankopen van exploits. Het is niet duidelijk of er echt een link is met Zerodium, maar het lijkt waarschijnlijker dat het gaat om bijvoorbeeld een beveiligingsonderzoeker die de bedrijfsnaam gebruikt om op te vallen.
Er wordt ook gesproken over 'de http-header', die begint met de string 'zerodium'. Het gaat echter specifiek om de http-header met de naam 'http_user_agentt' (met dubbel t) en is dus 'een' http-header. De waarde daarvan moet (volgens mij) de string 'REMOVETHIS: sold to zerodium, mid 2017' bevatten. maar dat laatste weet ik niet zeker.

maandag 29 maart 2021 12:08

Acties:
  • +1 Henk 'm!
  • TijsZonderH
  • Registratie: Maart 2012
  • Laatst online: 08:04

TijsZonderH

Nieuwscoördinator
Thanks, ik heb het aangepast!
Het 2FA dat de developers benadrukken, gaat over de github organisation waarnaar ze verhuizen en gaat niet over de huidige git.php.net server.
Ik las in deze tekst: "Membership in the organization requires 2FA to be enabled." dat het ook gold voor de oude server, maar dat zou ook kunnen slaan op alleen GitHub dus dat heb ik ook aangepast. Dank!
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq