Sikkerhedsforskere har for nylig identificeret to kritiske kodesårbarheder i en central komponent i PHP-forsyningskæden. Kaldes PEAR, eller PHP Extension and Application Repository, komponenten er både et framework og et distributionssystem til genanvendelige PHP-komponenter. De to PEAR-sårbarheder kunne nemt have været identificeret og udnyttet af trusselsaktører, forskerne sagde, med næsten ingen behov for teknisk ekspertise eller viden.
PEAR PHP Repository sårbarheder: Hvad er kendt?
Mere specifikt, problemerne går tilbage til i det mindste 15 år, og er placeret i PEAR PHP-lageret. Som et resultat af en vellykket udnyttelse, angribere kunne udføre et forsyningskædeangreb, der resulterer i uautoriseret adgang og vilkårlig kode.
Med hensyn til påvirkning og konsekvenser, Sonar-forskere sammenligner PEAR-sårbarhederne med SolarWinds-angrebene. "Effekten af sådanne angreb på udviklerværktøjer såsom PEAR er endnu mere betydelig, da de sandsynligvis vil køre det på deres computere, før de implementerer det på produktionsservere, skabe en mulighed for angribere til at pivotere ind i virksomheders interne netværk,” sagde Sonar-forskere.
Den første sårbarhed stammer fra en kode-commit, der blev foretaget i marts 2007 og er forbundet med brugen af det kryptografisk usikre mt_rand() PHP funktion i funktionen til nulstilling af adgangskode. Problemet kunne gøre det muligt for en trusselaktør at “opdage et gyldigt kodeords nulstillingstoken på mindre end 50 forsøger,” ifølge rapporten. Angrebsscenarier omfatter målretning af eksisterende udvikler- og administratorkonti og kapring af dem for at udgive useriøse versioner af udvikler-vedligeholdte pakker, skabe betingelserne for et forsyningskædeangreb.
CVE-2020-36193
Den anden sårbarhed er CVE-2020-36193 og kan hjælpe trusselsaktører med at opnå vedholdenhed. CVE-2020-36193-problemet skal kædes sammen med den tidligere sårbarhed, for at en vellykket udnyttelse kan finde sted. Fejlen stammer fra den såkaldte pærevævs afhængighed af en ældre version af Arkiv_Tar, og kan føre til vilkårlig kodeudførelse.
"Efter at have fundet en måde at få adgang til funktionerne forbeholdt godkendte udviklere, trusselsaktører vil sandsynligvis søge at få fjernudførelse af kode på serveren. En sådan opdagelse ville give dem betydeligt flere operationelle kapaciteter: selvom den tidligere nævnte fejl ender med at blive rettet, en bagdør ville gøre det muligt at bevare vedvarende adgang til serveren og fortsætte med at ændre pakkeudgivelser. Det kan også hjælpe dem med at skjule deres spor ved at ændre adgangslogfiler,” Sonars rapport tilføjet.
Den gode nyhed er, at vedligeholderne udgav en første patch den 4. august, hvor de introducerede en sikker metode til at generere pseudo-tilfældige bytes i funktionen til nulstilling af adgangskode. Du kan læse mere om det i den oprindelige rapport.
I 2021, den officielle PHP Git-server var kompromitteret i et softwareforsyningskædeangreb. Angriberne skubbede uautoriserede opdateringer for at implantere en bagdør i serverens kildekode.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: