Git-Server von PHP gehackt

29. März 2021 um 15:23
  • security
  • breach
  • programmiersprache
  • php
  • open source
image

Ein Unbekannter versuchte, eine Backdoor in den Quellcode einzuschleusen. Das Ziel: die Mehrheit aller Websites remote übernehmen.

Ein unbekannter Hacker hat in der vergangenen Nacht (28. März) das offizielle PHP-Git-Repository kompromittiert und unter dem Deckmantel einer kleinen Änderung manipulierten Code publiziert.
Der Angreifer lud zwei Commits in das php-src-Repository für die beliebte Skriptsprache, die eine Backdoor enthielten. Diese hätten eine Remote-Code-Ausführung (RCE) ermöglicht, wie die Maintainer bekanntgeben. Wäre er nicht entdeckt worden, so hätte der Angreifer offenbar sämtliche PHP-basierten Websites übernehmen können. Das wären beispielsweise alle Wordpress-Sites.
"PHP wird von 79,1% aller Websites verwendet, deren serverseitige Programmiersprache wir kennen", heisst es auf der Website von 'W3Techs', die sich der Web-Technologie-Nutzung verschrieben hat.
Der Hacker habe Namen von bekannten legitimen Maintainer – speziell von PHP-Vater Rasmus Lerdorf – genutzt, um die Änderungen mit einem Upstream mit dem Namen "fix typo" hochgeladen und so behauptet, dass er nur kleine Tippfehler-Änderungen am Code mache.
"Wir wissen noch nicht, wie es genau passiert ist, aber alles deutet auf eine Kompromittierung des git.php.net-Servers hin (und nicht auf eine Kompromittierung eines einzelnen Git-Kontos)", schreibt Maintainer Nikita Popov in einem ersten Statement.
image
Screenshot
Neuer Workflow als sofortige Konsequenz
Die Maintainer überprüfen nun die Repositories auf Anzeichen einer weiteren Kompromittierung, während Popov gleichzeitig Änderungen am Git-Commit-Workflow ankündigte.
'The Hacker News' hat noch einige zusätzliche Details zum neuesten Supply-Chain-Hack publiziert.
Und laut 'Bleeping Computer' gingen der/die Hacker nicht so raffiniert vor wie in anderen Supply-Chain-Attacken: "Der erste Commit wurde ein paar Stunden nach seiner Erstellung im Rahmen einer routinemässigen Code-Überprüfung nach dem Commit gefunden. Die Änderungen waren ziemlich offensichtlich bösartig und wurden sofort rückgängig gemacht", sagte Popov gegenüber der Security-Publikation.

Loading

Mehr zum Thema

image

Breach von Easypark könnte 21 Millionen Datensätze umfassen

Nach dem Angriff auf den auch in der Schweiz aktiven Park-App-Anbieter verkauft ein Hacker ein grosses Datenpaket. Es soll auch Kreditkarten- und IBAN-Details enthalten.

publiziert am 29.2.2024
image

Noch mehr Kritik für inter­kantonale Polizei­daten­bank

Eine neue Vereinbarung soll den Austausch von polizeilichen Daten unter den Kantonen regeln. Der Gesetzesentwurf dazu ist kantonalen Datenschützern zu unpräzise und eine "Art Blanko­ermächtigung" für die Polizei.

publiziert am 28.2.2024 1
image

Bank schickt USB-Sticks an Geschäftskunden

Eine deutsche Sparkasse hat 15'000 USB-Sticks mit neuen Geschäftsbedingungen verschickt. Wenn das Schule macht, öffnet das Cyberkriminellen Tür und Tor.

publiziert am 28.2.2024 2
image

Ransomware-Banden greifen vermehrt Fertigungsbetriebe an

Sobald die Produktion stillsteht, sind viele Unternehmen bereit, Lösegeld zu bezahlen. Das wiederum lockt nur noch mehr Cyberkriminelle an.

publiziert am 28.2.2024