Hackers zijn erin geslaagd om een backdoor te plaatsen in de officiële Git-repository van programmeertaal PHP. Ze voerden twee commando’s in die zich voordeden als kleine aanpassingen. In werkelijkheid konden ze door deze wijzigingen een 'remote code execution' uitvoeren. Daarmee is het mogelijk om websites die op PHP draaien aan te vallen. Het lek werd op tijd ontdekt en gedicht, zodat er geen websites die op PHP-draaien de dupe zijn van de backdoor.
Wat is PHP?
PHP (PHP: Hypertext Preprocessor) is een scripttaal, die bedoeld is om op webservers dynamische webpagina's te creëren. PHP is in 1994 ontworpen door Rasmus Lerdorf, een senior softwareontwikkelaar bij IBM. Lerdorf gebruikte Perl als inspiratie.
Aanvankelijk stonden de letters PHP voor Personal Home Page (de volledige naam was Personal Home Page/Forms Interpreter, PHP/FI). Sinds PHP 3.0 is de betekenis een recursief acroniem geworden: PHP: Hypertext Preprocessor. Deze naam geeft aan waar de taal meestal voor gebruikt wordt: informatie verwerken tot hypertext (meestal HyperText Markup Language (HTML) en Extensible HyperText Markup Language (XHTML)).
Aanval vond zondag plaats
De aanval vond zondag plaats en kwam aan het licht dankzij oplettende PHP-gebruikers. Wat we tot nu toe weten is dat hackers twee commits uitvoerden op de main repository van PHP. Naar alle waarschijnlijkheid hebben de aanvallers deze commits kunnen uitvoeren door gebruik te maken van de accounts van de twee hoofdprogrammeurs van PHP: Nikita Popov en Rasmus Lerdorf.
De aanvallers waren zodoende in staat om een backdoor te plaatsen. Deze kon gebruikt worden om websites die ontwikkeld zijn met PHP aan te vallen. En dat zijn er heel wat: volgens het World Wide Web Consortium (W3) draait bijna 80 procent van alle websites wereldwijd op PHP. Goede nieuws is dat de commits niet zijn doorgezet naar de release en dat het lek inmiddels is gedicht. De kans dat PHP-websites door het beveiligingslek zijn getroffen en een verborgen achterdeur hebben gekregen, is zeer klein.
Popov zegt dat hij niet precies kan zeggen hoe de aanval heeft kunnen plaatsvinden. Volgens hem ‘wijst alles erop’ dat de Git-server git.php.net is aangevallen.
Git-server niet meer veilig
Door de aanval is de Git-server niet meer veilig en hebben de hoofdprogrammeurs maatregelen moeten nemen. In een verklaring schrijven ze hierover het volgende: “Hoewel het onderzoek nog gaande is, hebben we besloten dat het onderhouden van onze eigen Git-infrastructuur een onnodig veiligheidsrisico is, en dat we stoppen met de git.php.net server. In plaats daarvan zullen de repositories op GitHub, die voorheen alleen mirrors waren, canonical worden. Dit betekent dat wijzigingen direct naar GitHub gepusht moeten worden in plaats van naar git.php.net.”
Om in de toekomst commits aan te brengen, moeten ontwikkelaars zich officieel aanmelden bij de PHP organisatie op GitHub. “Als je nog geen deel uitmaakt van de organisatie, of geen toegang hebt tot een repository waar je wel toegang tot zou moeten hebben, neem dan via e-mail contact met me op met je php.net en GitHub account namen, alsook de permissies die je momenteel mist”, schrijft Popov. Leden zijn verplicht om tweefactorauthenticatie (2FA) in te schakelen als ze zich aanmelden voor een lidmaatschap.
Naast de twee ontdekte malafide commits onderzoeken Popov en Lerdorf of de hackers ook nog andere aanpassingen hebben gedaan in de main repository van de programmeertaal PHP.
Bron: web.php.net, wikipedia.org, vpngids.nl
Tips of verdachte activiteiten gezien? Meld het hier.
Hacking berichten
Apple: “Installeer per direct de beveiligingsupdate”
Software- en elektronicagigant Apple roept gebruikers van iPhones, MacBooks, iPads en horloges op om zo spoedig mogelijk een beveiligingsupdate te installeren. Dat heeft alles te maken met een ernstig beveiligingslek in de iMessage-app: het was mogelijk om zonder enige interactie van de gebruiker de zogenaamde Pegasus-spyware te installeren. Daarmee kunnen foto's en e-mails worden gestolen, maar ook de microfoon en camera kunnen op afstand worden ingeschakeld.
Hoe hackers al uw sms-berichten kunnen zien en 2FA-beveiliging kunnen omzeilen
Voor een veilige toegang tot online diensten van vandaag is het niet voldoende om alleen een login en een sterk wachtwoord te gebruiken. Een recent onderzoek heeft uitgewezen dat meer dan 80% van alle hack aanvallen te wijten zijn aan zwakke wachtwoorden. Daarom is het gebruik van tweefactorauthenticatie (2FA) een noodzaak geworden. Het biedt een extra beveiligingslaag. Volgens de gegevens blokkeren gebruikers die 2FA inschakelen ongeveer 99,9% van de geautomatiseerde aanvallen.
"Criminelen spelen handig in op de behoefte om overal maar online te zijn"
Inloggen op een website, terwijl je verbinding maakt met een openbare wifi-verbinding. De meeste Nederlanders kennen de risico’s, toch past het merendeel z’n surfgedrag niet aan. Vooral jongeren zijn laks. Dat blijkt uit onderzoek van VPN.nl onder 1.075 Nederlanders, uitgevoerd door Panelwizard. Alleen in Nederland zijn er al zo’n 2 miljoen gratis wifi-hotspots, bijvoorbeeld bij treinstations, luchthavens, hotels, campings en horecagelegenheden.
Auteursrecht van Instagram en communityrichtlijnen geschonden!
Cybercriminelen doen er alles aan om waardevolle accountgegevens te bemachtigen. Met nepberichten over het schenden van auteursrecht willen ze nu ook gebruikers van Instagram misleiden. Hoe herken je deze vorm van phishing en wat kun je doen als je ermee te maken krijgt?
Energietransite biedt kansen voor hackers
De overgang naar een duurzame energievoorziening maakt het Nederlandse stroomnet kwetsbaarder voor hackers. Als zij zonnepanelen en laadpalen hacken, kan dat grote maatschappelijke en economische gevolgen hebben. Extra toezicht moet problemen voorkomen.
Pas op met "updaten van Kaseya"
Hackers proberen munt te slaan uit de crisis rondom de VSA-software van ICT-dienstverlener Kaseya. Ze hebben een spamcampagne opgezet waarbij ze potentiële slachtoffers proberen over te halen om een beveiligingsupdate te installeren die de kwetsbaarheid in VSA verhelpt. In werkelijkheid halen nietsvermoedende slachtoffers een Cobalt Strike payload binnen die een achterdeur toevoegt aan het bedrijfsnetwerk. Op deze manier proberen ze het netwerk binnen te glippen en malware te installeren.