Hackers plaatsten achterdeur in 'Hypertext Preprocessor' (PHP)

Gepubliceerd op 30 maart 2021 om 15:00

Hackers zijn erin geslaagd om een backdoor te plaatsen in de officiële Git-repository van programmeertaal PHP. Ze voerden twee commando’s in die zich voordeden als kleine aanpassingen. In werkelijkheid konden ze door deze wijzigingen een 'remote code execution' uitvoeren. Daarmee is het mogelijk om websites die op PHP draaien aan te vallen. Het lek werd op tijd ontdekt en gedicht, zodat er geen websites die op PHP-draaien de dupe zijn van de backdoor.

Wat is PHP?

PHP (PHP: Hypertext Preprocessor) is een scripttaal, die bedoeld is om op webservers dynamische webpagina's te creëren. PHP is in 1994 ontworpen door Rasmus Lerdorf, een senior softwareontwikkelaar bij IBM. Lerdorf gebruikte Perl als inspiratie.

Aanvankelijk stonden de letters PHP voor Personal Home Page (de volledige naam was Personal Home Page/Forms Interpreter, PHP/FI). Sinds PHP 3.0 is de betekenis een recursief acroniem geworden: PHP: Hypertext Preprocessor. Deze naam geeft aan waar de taal meestal voor gebruikt wordt: informatie verwerken tot hypertext (meestal HyperText Markup Language (HTML) en Extensible HyperText Markup Language (XHTML)).

Aanval vond zondag plaats

De aanval vond zondag plaats en kwam aan het licht dankzij oplettende PHP-gebruikers. Wat we tot nu toe weten is dat hackers twee commits uitvoerden op de main repository van PHP. Naar alle waarschijnlijkheid hebben de aanvallers deze commits kunnen uitvoeren door gebruik te maken van de accounts van de twee hoofdprogrammeurs van PHP: Nikita Popov en Rasmus Lerdorf.

De aanvallers waren zodoende in staat om een backdoor te plaatsen. Deze kon gebruikt worden om websites die ontwikkeld zijn met PHP aan te vallen. En dat zijn er heel wat: volgens het World Wide Web Consortium (W3) draait bijna 80 procent van alle websites wereldwijd op PHP. Goede nieuws is dat de commits niet zijn doorgezet naar de release en dat het lek inmiddels is gedicht. De kans dat PHP-websites door het beveiligingslek zijn getroffen en een verborgen achterdeur hebben gekregen, is zeer klein.

Popov zegt dat hij niet precies kan zeggen hoe de aanval heeft kunnen plaatsvinden. Volgens hem ‘wijst alles erop’ dat de Git-server git.php.net is aangevallen.

Git-server niet meer veilig

Door de aanval is de Git-server niet meer veilig en hebben de hoofdprogrammeurs maatregelen moeten nemen. In een verklaring schrijven ze hierover het volgende: “Hoewel het onderzoek nog gaande is, hebben we besloten dat het onderhouden van onze eigen Git-infrastructuur een onnodig veiligheidsrisico is, en dat we stoppen met de git.php.net server. In plaats daarvan zullen de repositories op GitHub, die voorheen alleen mirrors waren, canonical worden. Dit betekent dat wijzigingen direct naar GitHub gepusht moeten worden in plaats van naar git.php.net.”

Om in de toekomst commits aan te brengen, moeten ontwikkelaars zich officieel aanmelden bij de PHP organisatie op GitHub. “Als je nog geen deel uitmaakt van de organisatie, of geen toegang hebt tot een repository waar je wel toegang tot zou moeten hebben, neem dan via e-mail contact met me op met je php.net en GitHub account namen, alsook de permissies die je momenteel mist”, schrijft Popov. Leden zijn verplicht om tweefactorauthenticatie (2FA) in te schakelen als ze zich aanmelden voor een lidmaatschap.

Naast de twee ontdekte malafide commits onderzoeken Popov en Lerdorf of de hackers ook nog andere aanpassingen hebben gedaan in de main repository van de programmeertaal PHP.

Changes To Git Commit Workflow
PDF – 88,4 KB 404 downloads

Bron: web.php.net, wikipedia.org, vpngids.nl

Tips of verdachte activiteiten gezien? Meld het hier.

Hacking berichten