Aanvallers versturen malafide code naar officiële PHP Git-repository

[Captain Kirk]

Aanvallers zijn erin geslaagd om malafide code naar de officiële Git-repository van programmeertaal PHP te sturen. Hoe dit precies kon gebeuren wordt nog onderzocht, maar alles lijkt erop te wijzen dat de aanvallers hebben ingebroken op de server van git.php.net. Daarvoor waarschuwt ontwikkelaar Nikita Popov op de PHP-mailinglist. Git is een populaire oplossing voor softwareontwikkelaars om code van een lokale repository naar een remote Git-repository te krijgen. Zo kunnen meerdere programmeurs aan de code werken.

In totaal werden er twee commits met malafide code naar de "php-src" Git-repository verstuurd. Deze commits leken afkomstig van PHP-ontwikkelaars Rasmus Lerdorf en Nikita Popov. Het onderzoek naar de aanval loopt nog, maar het PHP-ontwikkelteam stelt dat beheer van de eigen Git-infrastructuur een onnodig beveiligingsrisico vormt en er is besloten om te stoppen met de git.php.net-server.

Voortaan wordt code voor PHP direct naar de repositories op GitHub verstuurd. Deze respositories fungeerden eerder nog alleen als mirror. Dit houdt in dat ontwikkelaars die bijdragen aan PHP nu onderdeel van de PHP-organisatie op GitHub moeten zijn om hun code naar de repositories te versturen. Naast de twee ontdekte malafide commits wordt nog onderzocht of de aanvallers andere aanpassingen hebben doorgevoerd.

Volgens Bleeping Computer bevatten de twee malafide commits een backdoor waarmee aanvallers toegang tot websites kunnen krijgen die van de gecompromitteerde PHP-versie gebruikmaken.

 

bron: https://www.security.nl