Ακόμα να λυθεί το μυστήριο για το χακάρισμα της ιστοσελίδας PHP Pear
1 min readΤρεις μέρες αργότερα και ακόμα δεν υπάρχουν ακόμα λεπτομέρειες σχετικά με τον τρόπο με τον οποίο η επίσημη ιστοσελίδα της PHP φιλοξένησε μια backdoored έκδοση του διαχειριστή πακέτων PEAR για τους τελευταίους έξι μήνες.
Ασαφείς παραμένουν οι λεπτομέρειες για μια πρόσφατη παραβίαση ασφαλείας στην ιστοσελίδα PHP PEAR, ένα σημαντικό, αλλά λιγότερο γνωστό μέρος της γλώσσας scripting PHP.
Το PEAR , το οποίο αντιπροσωπεύει το “PHP Extension and Application Repository”, είναι ο πρώτος διαχειριστής πακέτων που αναπτύχθηκε για τη γλώσσα scripting PHP από τη δεκαετία του 1990 και λειτουργεί επιτρέποντας στους προγραμματιστές να φορτώσουν και να επαναχρησιμοποιήσουν κώδικα για κοινές λειτουργίες που παραδίδονται στις βιβλιοθήκες PHP.
Ενώ οι περισσότεροι προγραμματιστές της PHP έχουν ήδη περάσει στη χρήση του Composer, ενός νεότερου διαχειριστή πακέτων, το PEAR εξακολουθεί να παραμένει πολύ δημοφιλές και εξακολουθεί να είναι πολύ διαδεδομένο, επειδή συμπεριλαμβάνεται επίσης από προεπιλογή με όλα τα επίσημα δυαδικά αρχεία PHP για Linux.
Οι προγραμματιστές της PHP μπορούν να χρησιμοποιήσουν την έκδοση PEAR που διατίθεται με τη διανομή τους μέσω PHP, αλλά μπορούν επίσης να κατεβάσουν μια ενημερωμένη έκδοση PEAR (go-pear.phar) από την ιστοσελίδα PEAR (η οποία φιλοξενεί επίσης όλες τις βιβλιοθήκες PHP συμβατές με PEAR).
Ωστόσο, την περασμένη εβδομάδα, ο ιστότοπος PHP PEAR – pear.php.net – παραβιάστηκε και η αρχική του σελίδα αντικαταστάθηκε με ένα σύντομο μήνυμα που αναγγέλλει παραβίαση ασφαλείας.
Σύμφωνα με το μήνυμα, η ομάδα PEAR δήλωσε ότι έχει διαπιστώσει ότι ο επίσημος δικτυακός τόπος φιλοξένησε ένα αρχείο “tainted go-pear.phar” – το οποίο είναι το κύριο εκτελέσιμο αρχείο PHP PEAR.
“Εάν έχετε κατεβάσει αυτό το go-pear.phar τους τελευταίους έξι μήνες, θα πρέπει να λάβετε ένα νέο αντίγραφο της ίδιας έκδοσης από το GitHub (pear / pearweb_phars) και να συγκρίνετε τα hashes”, ανέφερε το μήνυμα στην επίσημη ιστοσελίδα. “Εάν είναι διαφορετικό, μπορεί να έχετε το μολυσμένο αρχείο.”
Σύμφωνα με μια σάρωση του VirusTotal του μολυσμένου αρχείου go-pear.phar, η κακόβουλη έκδοση που διατίθεται μέσω της επίσημης ιστοσελίδας PEAR φαίνεται να περιέχει αυτό που ορισμένοι υπεύθυνοι ασφαλείας περιγράφουν ως backdoor.
Τι ακριβώς κάνει αυτή η backdoor έκδοση, είναι επί του παρόντος άγνωστη, καθώς η ομάδα PHP PEAR εξακολουθεί να αναλύει τον πηγαίο κώδικα του αρχείου, ο οποίος περιέχει χιλιάδες γραμμές κώδικα.
Όλοι οι διακομιστές PHP, στους οποίους οι διαχειριστές εγκατέστησαν μια ενημερωμένη έκδοση του εκτελέσιμου αρχείου PHP PEAR (go-pear.phar) από την ιστοσελίδα PEAR, θα πρέπει να θεωρούνται μολυσμένο με τον ιό και να αντιμετωπίζονται ανάλογα.
Η ομάδα PHP PEAR αναφέρει ότι εξακολουθεί να ελέγχει και να ξαναχτίζει την ιστοσελίδα της, ψάχνοντας για το κενό ασφαλείας που εκμεταλλεύτηκαν οι εισβολείς πριν από έξι μήνες για να εγκαταστήσουν το backdoored αρχείο go-pear.phar.
Οι προγραμματιστές της PEAR υποσχέθηκαν μία πιο λεπτομερή ανάλυση όταν τελειώσει η όλη ιστορία.
Στο μεταξύ, νωρίτερα σήμερα, η ομάδα PHP PEAR κυκλοφόρησε επίσης το PEAR v1.10.10 , μια νέα έκδοση PEAR, η οποία είναι πανομοιότυπη με την προηγούμενη έκδοση v1.10.9 αλλά την οποία η ομάδα PHP PEAR ανέβασε στο GitHub για να της δώσει μια νέα χρονική σήμανση σηματοδοτούν ότι είναι μια καθαρή έκδοση που οι webmasters μπορούν να εγκαταστήσουν χωρίς φόβο να κατεβάσουν μια πιθανή backdoored απελευθέρωση.
Ενώ η PHP σήμερα είναι εγκατεστημένη σχεδόν στο 79 τοις εκατό όλων των διαδικτυακών τόπων, μόνο ένα μικρό μέρος αυτών είναι πιθανό να επηρεαστεί από αυτό το περιστατικό, καθώς οι περισσότεροι είτε χρησιμοποιούν το Composer είτε σπάνια επικαιροποιούν το εκτελέσιμο PEAR από τη πρώτη πηγή.