Git-Server von PHP gehackt

29. März 2021, 15:23
  • security
  • breach
  • programmiersprache
  • php
  • open source
image

Ein Unbekannter versuchte, eine Backdoor in den Quellcode einzuschleusen. Das Ziel: die Mehrheit aller Websites remote übernehmen.

Ein unbekannter Hacker hat in der vergangenen Nacht (28. März) das offizielle PHP-Git-Repository kompromittiert und unter dem Deckmantel einer kleinen Änderung manipulierten Code publiziert.
Der Angreifer lud zwei Commits in das php-src-Repository für die beliebte Skriptsprache, die eine Backdoor enthielten. Diese hätten eine Remote-Code-Ausführung (RCE) ermöglicht, wie die Maintainer bekanntgeben. Wäre er nicht entdeckt worden, so hätte der Angreifer offenbar sämtliche PHP-basierten Websites übernehmen können. Das wären beispielsweise alle Wordpress-Sites.
"PHP wird von 79,1% aller Websites verwendet, deren serverseitige Programmiersprache wir kennen", heisst es auf der Website von 'W3Techs', die sich der Web-Technologie-Nutzung verschrieben hat.
Der Hacker habe Namen von bekannten legitimen Maintainer – speziell von PHP-Vater Rasmus Lerdorf – genutzt, um die Änderungen mit einem Upstream mit dem Namen "fix typo" hochgeladen und so behauptet, dass er nur kleine Tippfehler-Änderungen am Code mache.
"Wir wissen noch nicht, wie es genau passiert ist, aber alles deutet auf eine Kompromittierung des git.php.net-Servers hin (und nicht auf eine Kompromittierung eines einzelnen Git-Kontos)", schreibt Maintainer Nikita Popov in einem ersten Statement.
image
Screenshot
Neuer Workflow als sofortige Konsequenz
Die Maintainer überprüfen nun die Repositories auf Anzeichen einer weiteren Kompromittierung, während Popov gleichzeitig Änderungen am Git-Commit-Workflow ankündigte.
'The Hacker News' hat noch einige zusätzliche Details zum neuesten Supply-Chain-Hack publiziert.
Und laut 'Bleeping Computer' gingen der/die Hacker nicht so raffiniert vor wie in anderen Supply-Chain-Attacken: "Der erste Commit wurde ein paar Stunden nach seiner Erstellung im Rahmen einer routinemässigen Code-Überprüfung nach dem Commit gefunden. Die Änderungen waren ziemlich offensichtlich bösartig und wurden sofort rückgängig gemacht", sagte Popov gegenüber der Security-Publikation.

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023