Les chercheurs en sécurité ont récemment identifié deux vulnérabilités de code critiques dans un composant central de la chaîne d'approvisionnement PHP. Appelé POIRE, ou Extension PHP et référentiel d'applications, le composant est à la fois un framework et un système de distribution de composants PHP réutilisables. Les deux vulnérabilités PEAR auraient pu être facilement identifiées et exploitées par les acteurs de la menace, les chercheurs, avec presque aucune expertise ou connaissance technique nécessaire.
Vulnérabilités du référentiel PHP PEAR: Ce qui est connu?
Plus précisement, les problèmes remontent à au moins 15 ans, et sont situés dans le dépôt PEAR PHP. À la suite d'un exploit réussi, les attaquants pourraient mener une attaque de la chaîne d'approvisionnement entraînant un accès non autorisé et exécution de code arbitraire.
En termes d'impact et de conséquences, Les chercheurs de Sonar comparent les vulnérabilités de PEAR aux attaques de SolarWinds. "L'impact de telles attaques sur des outils de développement tels que PEAR est d'autant plus important qu'ils sont susceptibles de l'exécuter sur leurs ordinateurs avant de le déployer sur des serveurs de production., créant une opportunité pour les attaquants de pivoter dans le réseau interne des entreprises,” Les chercheurs du sonar ont déclaré.
La première vulnérabilité provient d'un commit de code effectué en mars 2007 et est associé à l'utilisation du cryptographiquement non sécurisé mt_rand() Fonction PHP dans la fonctionnalité de réinitialisation du mot de passe. Le problème pourrait permettre à un auteur de menaces de “découvrir un jeton de réinitialisation de mot de passe valide en moins de 50 essaie,” selon le rapport. Les scénarios d'attaque incluent le ciblage des comptes de développeur et d'administrateur existants et leur piratage pour publier des versions malveillantes de packages gérés par les développeurs., créer les conditions d'une attaque de la chaîne d'approvisionnement.
CVE-2020-36193
La deuxième vulnérabilité est CVE-2020-36193 et pourrait aider les pirates à gagner en persistance. Le problème CVE-2020-36193 doit être enchaîné avec la vulnérabilité précédente pour qu'un exploit réussisse.. Le défaut provient de la soi-disant toile de poire recours à une ancienne version de Archive_Tar, et pourrait conduire à l'exécution de code arbitraire.
"Après avoir trouvé un moyen d'accéder aux fonctionnalités réservées aux développeurs agréés, les acteurs de la menace sont susceptibles de chercher à obtenir l'exécution de code à distance sur le serveur. Une telle découverte leur accorderait considérablement plus de capacités opérationnelles: même si le bug mentionné précédemment finit par être corrigé, une porte dérobée permettrait de garder un accès persistant au serveur et de continuer à modifier les versions des packages. Cela pourrait également les aider à masquer leurs traces en modifiant les journaux d'accès,” Le rapport de Sonar a ajouté.
La bonne nouvelle est que les mainteneurs ont publié un premier patch le 4 août, dans lequel ils ont introduit une méthode sûre pour générer des octets pseudo-aléatoires dans la fonctionnalité de réinitialisation du mot de passe. Vous pouvez en savoir plus à ce sujet dans le rapport initial.
Dans 2021, le serveur PHP Git officiel était compromis dans une attaque de la chaîne d'approvisionnement logicielle. Les attaquants ont poussé des mises à jour non autorisées pour implanter une porte dérobée dans le code source du serveur.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: