PHP alebo Hypertext Preprocessor je programovací jazyk, ktorý beží približne na 80 percentách webu. Webové stránky WordPress bežia na PHP, vďaka čomu sú kriticky zraniteľné voči PHP hackom.
Samotný jazyk je open-source, čo znamená, že každý, kto programuje v PHP, sa môže stať „prispievajúcim členom“ open-source komunity, ktorá ho nasadzuje a vyvíja.
Toto je dôležité vedieť, pretože to ukazuje, aký rozšírený by mohol byť útok na PHP.
V noci na nedeľu 28. marca 2021 sa práve takýto útok spustil. Informoval o tom Nikita Popov že dva zlomyseľné spáchania boli posunuté do php-src Úložisko Git.
Git je zabezpečené centrum/komunita pre vývoj webu a úložisko Git je knižnica kódu priradená konkrétnym používateľom v sieti Git. Repozitáre môžu byť verejné alebo súkromné.
Skriptovací jazyk PHP – chrbtica 100 percent stránok WordPress – je hosťovaný v úložisku Git, ktoré bolo napadnuté, čo predstavuje potenciálne nebezpečný kompromis pre stránky na WordPress. Tu je to, čo sa stalo a čo to znamená v budúcnosti.
Počas PHP Hacku boli vysadené zadné vrátka
Tieto špecifické Git sa zaväzuje boli vykonané s cieľom osadiť dve zadné vrátka.
Tieto zadné vrátka by účinne udelili týmto útočníkom povolenia na spustenie vzdialených útokov na spustenie kódu dvoma spôsobmi: prostredníctvom kódu PHP a prostredníctvom hlavičky HTTP.
Podľa Bezpečnostný tím Wordfence:
„Remote Code Execution umožňuje zadávať príkazy serveru na diaľku, čo útočníkom umožňuje robiť veci, ako je vytváranie nových súborov, kradnutie údajov na serveri, mazanie súborov a v podstate prevzatie ovplyvneného servera akýmikoľvek webovými stránkami poháňanými PHP.“
V tom istom článku sa Wordfence podrobne venoval aj rozsahu hackov:
„V sobotu 27. marca 2021 bol do úložiska zasunutý prvý z dvoch záväzkov. Prvý commit mal popis opravy drobných preklepov. Podpísaný: Rasmus Lerdorf <[email protected]> zo strany komisára rlerdorfa. Tento účet patrí Rasmusovi Lerdorfovi, spoluautorovi jazyka PHP. Druhý commit nemal žiadny popis, ale názov bol Revert “Revert”[skip-ci] Fix preklep””, ktorý vrátil späť pôvodné odovzdanie rlerdorfom, čo naznačuje, že útočník vrátil pôvodný pokus Nikity vrátiť tieto zadné vrátka. Tento záväzok bol vytvorený tak, aby vyzeral, že pochádza z účtu nikic. Tento účet patrí Nikitovi Popovovi, vysoko rešpektovanému prispievateľovi do projektu PHP.
Použitie týchto dvoch individuálnych účtov spôsobilo, že sa zdalo, že potvrdenia pochádzajú od vysoko dôveryhodných prispievateľov a autorov, čo bolo urobené v snahe, aby potvrdenia vyzerali autenticky a dôveryhodne. Útočník sa tiež uistil, že zmeny sa javia ako drobné opravy na opravu preklepu, aby skryl svoje zámery.
Na prvý pohľad sa môže zdať, že účty rlerdorf a nikic boli kompromitované, ale skupina PHP výslovne uviedla, že sa domnieva, že škodlivé potvrdenia boli výsledkom kompromisu v rámci ich infraštruktúry git, a nie akéhokoľvek individuálneho účtu.“
Nasleduje snímka obrazovky potvrdenia, ktoré podľa všetkého pochádzalo z účtu rlerdorf.
Nasleduje snímka obrazovky potvrdenia, ktoré vyzeralo, že pochádza z účtu nikic.
Aký je význam?
Pri prezeraní týchto snímok obrazovky je dôležité poznamenať, že na oba pokusy o hackovanie bol použitý rovnaký kód.
Našťastie Git Repo dokázalo zachytiť tieto commity skôr, ako boli uvoľnené do produkčnej verzie.
V opačnom prípade by hackeri mohli napáchať veľa škody na všetkých webových stránkach WordPress.
Wordfence spomína, že zadné vrátka nakoniec neboli dobre ukryté a je pravdepodobné, že útočník buď očakával, že ho chytia, alebo nemal schopnosti na jeho ukrytie.
Oni (Wordfence) tiež neberú hrozbu až tak vážne kvôli prisúdeniu, že išlo skôr o neskúseného „scenárskeho chlapca“, ktorý vykonal útok, na rozdiel od sofistikovaného plnohodnotného tímu hackerov.
Tento hack PHP neovplyvňuje produkčné stránky WordPress
Našťastie pre nás všetkých tento hack neovplyvňuje weby WordPress vo výrobe kvôli rýchlosti, s akou bol pôvodne chytený.
Wordfence hlási, že napadnutá verzia PHP sa nedostala a nikdy nedostane na váš server.
V priebehu príbehu vás budeme naďalej informovať o akýchkoľvek zmenách.
Poďakovanie za obrázok:
Snímky obrazovky: Wordfence.com / marec 2021