Перейти к содержанию

Бэкдор в языке PHP – попытка атаки через цепочку поставок


Рекомендуемые сообщения

Неизвестные злоумышленники попытались провернуть масштабную атаку через цепочку поставок, загрузив вредоносный код в официальный GIT-репозиторий PHP. Если бы разработчики PHP не заметили бэкдор, то он мог бы оказаться на множестве веб-серверов по всему миру — и это стало бы крупнейшей в истории атакой на цепочку поставок.

Что случилось с PHP?

Программисты, работающие над развитием языка PHP, добавляют изменения в коде в общий репозиторий, построенный на базе системы контроля версий GIT. После внесения дополнений код проходит дополнительное ревью. При очередной рутинной проверке проводивший ее разработчик заметил подозрительное дополнение — оно было помечено в комментариях как исправление опечатки и добавлено от имени Никиты Попова, одного из активных участников развития PHP. При ближайшем рассмотрении оказалось, что это бэкдор, а Никита, разумеется, ничего подобного не добавлял.

После дополнительной проверки выяснилось, что аналогичное дополнение было загружено в репозиторий еще один раз, на этот раз от имени одного из создателей PHP, Расмуса Лердорфа (Rasmus Lerdorf). Благодаря бдительности программистов изменение было замечено не позже чем через пару часов после того, как оно было добавлено, так что грядущее обновление PHP 8.1 (которое должно быть готово к концу года) выйдет все-таки без бэкдора.

Что за бэкдор в коде PHP и чем он был опасен

Добавленный в репозиторий бэкдор мог позволить злоумышленникам удаленно запустить вредоносный код на веб-сервере, использующем данную версию PHP. Хотя  PHP понемногу теряет популярность, этот скриптовый язык все еще является самым распространенным инструментом для создания веб-сайтов и используется примерно на 80% веб-серверов. И пускай не все администраторы обновляют свои инструменты, изрядная часть серверов все равно поддерживается в актуальном состоянии — в соответствии с требованиями регуляторов или внутренних регламентов безопасности. Так что если бы бэкдор попал в новую версию PHP, то он с высокой долей вероятности разошелся бы по веб-серверам многих компаний.

Как злоумышленникам удалось внедрить бэкдор в код PHP

Расследование продолжается, но пока эксперты уверены, что это произошло не в результате компрометации учетных записей разработчиков, а скорее из-за наличия какой-то уязвимости в самом внутреннем Git-сервере. О том, что при должном умении на нем можно приписать произвольному изменению авторство другого пользователя, известно давно. После этого инцидента команда, занимающаяся поддержкой PHP, пришла к решению прекратить использование собственного сервера git.php.net и переехать в репозиторий в сервисе GitHub (он использовался и до этого, но только в качестве зеркала).

Как оставаться в безопасности

Как мы уже писали, среда разработки — лакомая цель для злоумышленников. Ведь скомпрометировав код программного продукта, которому доверяют клиенты, они могут разом добраться до множества целей в ходе сложной атаки через цепочку поставок. Особенно важно защищать от постороннего вмешательства код таких популярных проектов, как PHP, которые используют миллионы пользователей по всему миру.

  • Как показывает пример команды поддержки PHP, крайне важно регулярно перепроверять все изменения, вносимые в код, даже если они вносятся именитыми и заслуживающими доверия программистами.
  • Крайне важно следить за безопасностью серверов и сервисов, используемых в разработке.
  • Все участники процесса должны понимать типичные цели и тактики злоумышленников, чтобы вовремя заметить попытку компрометации проекта. Обучать сотрудников навыкам выявления современных киберугроз можно при помощи специализированных онлайновых платформ.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • vort8x
      От vort8x
      Банально хотел бы попросить помощь в удалении, т.к. антивирус с ним не справился и после перезагрузки он появился снова. Логи прилагаю: 
      CollectionLog-2024.12.22-21.06.zip
    • KL FC Bot
      От KL FC Bot
      Как правило, разработчики ПО являются как минимум продвинутыми пользователями компьютеров. Поэтому может сложиться впечатление, что они с большей вероятностью смогут выявить и отразить атаку злоумышленников. Но, как показывает практика, от социальной инженерии не защищен никто — надо лишь найти к человеку правильный подход. В случае IT-специалистов таким подходом часто может стать предложение хорошо оплачиваемой работы в престижной компании. В погоне за вакансией мечты даже опытные айтишники иногда теряют осторожность и начинают вести себя ничем не лучше школьников, скачивающих пиратские игры из Интернета. А реальной целью (а точнее жертвой) атаки может стать его текущий работодатель.
      Недавно стало известно о новой схеме, которую хакеры используют для заражения компьютеров интересующих их разработчиков: под видом тестового задания они подсовывают соискателям скрипт с бэкдором. И это не изолированный случай, а лишь самая свежая итерация хорошо отлаженного процесса. Хакеры уже несколько лет активно используют фейковые вакансии для охоты на IT-специалистов — и в ряде случаев добиваются поистине оглушительного успеха.
      Казалось бы, это должно быть личной проблемой айтишника. Но в современных условиях велика вероятность, что и основную работу, и тестовое задание на новую вакансию специалист будет делать на одной и той же машине. То есть под угрозой может оказаться не только личная, но и корпоративная информация.
      Фейковая вакансия, криптоигра и ограбление на $540 миллионов
      Один из самых громких случаев успешного применения тактики фейковой вакансии произошел в 2022 году. Тогда злоумышленникам удалось связаться (вероятно, через LinkedIn) с одним из старших инженеров компании Sky Mavis, которая разрабатывает криптоигру Axie Infinity, и предложить ему высокооплачиваемую работу.
      Получив заманчивое предложение, сотрудник прилежно прошел несколько инсценированных взломщиками этапов отбора. В итоге все, естественно, закончилось получением оффера, который был отправлен жертве в виде PDF-файла.
       
      View the full article
    • ООО Арт-Гарант
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • Denis K
      От Denis K
      Здравствуйте,скачал обход дискорда поймал майнер,вирус.Компьютер стал тормозить,касперский выдал нахождение в google updater exe,при попытки лечений,выдало три ошибки и после пк вылетел с синим экраном.так же я не знаю но в диспетчере появился или был powershell exe.Прошу помочь и разобратся.При попытки лечения трижды с тремя ошибками синий экран во время лечения.
      CollectionLog-2024.12.23-01.02.zip
    • Austria.unvorsatzlich
      От Austria.unvorsatzlich
      Доброго времени суток,столкнулся с проблемой ошибки подключения Agenta версии 14 к Центру, операционная система на которой стоит агент Линукс а Центр где стоит сервер Виндовс при попытки подключения выдает данное сообщение:
      [root@localhost user]# sudo systemctl status klnagent
      ● klnagent64.service - LSB: Kaspersky Network Agent
           Loaded: loaded (/etc/rc.d/init.d/klnagent64; generated)
           Active: active (running) since Tue 2024-12-10 10:35:07 MSK; 51min ago
             Docs: man:systemd-sysv-generator(8)
          Process: 5100 ExecStart=/etc/rc.d/init.d/klnagent64 start (code=exited, status=0/SUCCESS)
            Tasks: 26 (limit: 9182)
           Memory: 20.6M
              CPU: 36.805s
           CGroup: /system.slice/klnagent64.service
                   ├─5106 /opt/kaspersky/klnagent64/sbin/klnagent
                   ├─5108 /bin/sh /var/opt/kaspersky/klnagent/tmp/klsc-85F0189814E85A37/B48BDCEEFFC7AD12707F1E74F6D09C48
                   └─5109 /opt/kaspersky/klnagent64/sbin/klnagent -d -from_wd
      Dec 10 10:35:07 localhost.localdomain systemd[1]: Starting klnagent64.service - LSB: Kaspersky Network Agent...
      Dec 10 10:35:07 localhost.localdomain klnagent64[5100]: klnagent started
      Dec 10 10:35:07 localhost.localdomain systemd[1]: Started klnagent64.service - LSB: Kaspersky Network Agent.
      Dec 10 10:35:10 localhost.localdomain klnagent[5109]: Product 'Kaspersky Endpoint Security 11.3.0 для Linux' has started    (5B4B4C434F4E4E415050494E53545D202F686F6D6>
      Dec 10 10:35:10 localhost.localdomain klnagent[5109]: Product 'Kaspersky Endpoint Security 11.3.0 для Linux' has started    (5B4B4C434F4E4E415050494E53545D202F686F6D6>
      Dec 10 10:35:10 localhost.localdomain klnagent[5109]: Kaspersky Network Agent 14.0.0.4646 started    (5B4B4C4E41475D202F686F6D652F6275696C6465722F612F632F645F30303030>
      Dec 10 10:35:16 localhost.localdomain klnagent[5109]: Transport level error while connecting to http://192.168.7.9:13291: general error 0x4F8 (Connection has been bro>
                                                            #1272 Transport level error while connecting to http://192.168.7.9:13291: general error 0x4F8 (Connection has be>
×
×
  • Создать...