Los investigadores de seguridad identificaron recientemente dos vulnerabilidades de código críticas en un componente central de la cadena de suministro de PHP. llamado PERA, o extensión de PHP y repositorio de aplicaciones, el componente es a la vez un marco y un sistema de distribución para componentes PHP reutilizables. Los actores de amenazas podrían haber identificado y explotado fácilmente las dos vulnerabilidades de PEAR., los investigadores dijeron, casi sin experiencia técnica o conocimiento necesario.
Vulnerabilidades del repositorio PHP de PEAR: Lo que se sabe?
Más específicamente, los problemas se remontan al menos 15 año, y se encuentran en el repositorio PHP de PEAR. Como resultado de un exploit exitoso, Los atacantes podrían llevar a cabo un ataque a la cadena de suministro que resulte en un acceso no autorizado y la ejecución de código arbitrario.
En términos de impacto y consecuencias, Los investigadores de Sonar comparan las vulnerabilidades de PEAR con los ataques de SolarWinds. “El impacto de tales ataques en herramientas de desarrollo como PEAR es aún más significativo, ya que es probable que lo ejecuten en sus computadoras antes de implementarlo en los servidores de producción., creando una oportunidad para que los atacantes pivoten en la red interna de las empresas,” Los investigadores del sonar dijeron.
La primera vulnerabilidad proviene de una confirmación de código realizada en marzo. 2007 y está asociado con el uso de criptografía insegura mt_rand() Función PHP en la función de restablecimiento de contraseña. El problema podría permitir que un actor de amenazas “descubra un token de restablecimiento de contraseña válido en menos de 50 intentos,” según el informe. Los escenarios de ataque incluyen apuntar a cuentas de desarrolladores y administradores existentes y secuestrarlas para publicar versiones no autorizadas de paquetes mantenidos por desarrolladores., crear las condiciones para un ataque a la cadena de suministro.
CVE-2020-36193
La segunda vulnerabilidad es CVE-2020-36193 y podría ayudar a los actores de amenazas a ganar persistencia.. El problema CVE-2020-36193 debe estar encadenado con la vulnerabilidad anterior para que se produzca una explotación exitosa.. El defecto proviene de la llamada pearweb's confiar en una versión anterior de Archive_Tar, y podría conducir a la ejecución de código arbitrario.
“Después de encontrar una manera de acceder a las funciones reservadas para desarrolladores aprobados, Es probable que los actores de amenazas busquen obtener la ejecución remota de código en el servidor.. Tal descubrimiento les otorgaría considerablemente más capacidades operativas.: incluso si el error mencionado anteriormente termina siendo corregido, una puerta trasera permitiría mantener un acceso persistente al servidor y continuar modificando las versiones de los paquetes. También podría ayudarlos a ocultar sus huellas modificando los registros de acceso.,Se agregó el informe de Sonar..
La buena noticia es que los mantenedores lanzaron un primer parche el 4 de agosto., en el que introdujeron un método seguro para generar bytes pseudoaleatorios en la funcionalidad de restablecimiento de contraseña. Puedes leer más al respecto en el informe original.
En 2021, el servidor oficial de PHP Git fue comprometido en un ataque a la cadena de suministro de software. Los atacantes enviaron actualizaciones no autorizadas para implantar una puerta trasera en el código fuente del servidor..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: