Die Betreuer der Programmiersprache PHP haben ein Update bezüglich des Sicherheitsvorfalls herausgegeben, der Ende letzten Monats bekannt wurde. Darin heißt es, dass die Akteure möglicherweise in den Besitz einer Benutzerdatenbank gelangt sind, die deren Passwörter enthält, um unautorisierte Änderungen am Repository vorzunehmen.
“Wir glauben nicht mehr, dass der git.php.net-Server kompromittiert wurde. Es ist jedoch möglich, dass die master.php.net-Benutzerdatenbank durchgesickert ist”, sagte Nikita Popov in einer Nachricht, die er am 6. April auf seiner Mailingliste veröffentlichte.
Am 28. März benutzten unbekannte Akteure die Namen Rasmus Lerdorf und Popov, um bösartige Commits in das auf dem Server git.php.net gehostete Repository “php-src” zu pushen, die eine Hintertür in den PHP-Quellcode einfügten – ein Beispiel für einen Angriff auf die Software-Lieferkette.
Während dies zunächst als Kompromittierung des git.php.net-Servers behandelt wurde, hat die weitere Untersuchung des Vorfalls ergeben, dass die Commits ein Ergebnis des Pushens unter Verwendung von HTTPS und passwortbasierter Authentifizierung waren, was den Verdacht auf ein mögliches Leck in der Benutzerdatenbank von master.php.net aufkommen ließ.
Die “git.php.net (absichtlich) Unterstützung[s] das Pushen von Änderungen nicht nur über SSH (unter Verwendung der Gitolite-Infrastruktur und Public-Key-Kryptographie), sondern auch über HTTPS”, sagte Popov. “Letzteres nutzte Gitolite nicht und verwendete stattdessen git-http-backend hinter Apache 2 Digest-Authentifizierung gegen die master.php.net-Benutzerdatenbank.”
Außerdem soll das Authentifizierungssystem master.php.net auf einem sehr alten Betriebssystem und einer Version von PHP laufen, was die Möglichkeit aufkommen lässt, dass die Angreifer auch eine Schwachstelle in der Software ausgenutzt haben könnten, um den Angriff zu inszenieren.
Als Konsequenz haben die Betreuer master.php.net auf ein neues main.php.net-System mit Unterstützung für TLS 1.2 migriert, zusätzlich zum Zurücksetzen aller existierenden Passwörter und dem Speichern von Passwörtern mit bcrypt anstelle eines einfachen MD5-Hashes.
Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Bedrohungsakteure zielten auf Slack und Discord, als die Pandemie wütete