I ricercatori di sicurezza hanno recentemente identificato due vulnerabilità critiche del codice in un componente centrale della catena di approvvigionamento di PHP. Chiamato PERA, o estensione PHP e repository di applicazioni, il componente è sia un framework che un sistema di distribuzione per componenti PHP riutilizzabili. Le due vulnerabilità di PEAR avrebbero potuto essere facilmente identificate e sfruttate dagli attori delle minacce, i ricercatori hanno detto, quasi senza alcuna competenza tecnica o conoscenza necessaria.
Vulnerabilità del repository PEAR PHP: Ciò che è noto?
Più specificamente, i problemi risalgono almeno a 15 anni, e si trovano nel repository PEAR PHP. Come risultato di un exploit riuscito, gli aggressori potrebbero effettuare un attacco alla catena di approvvigionamento con conseguente accesso non autorizzato e l'esecuzione di codice arbitrario.
In termini di impatto e conseguenze, I ricercatori del sonar confrontano le vulnerabilità di PEAR con gli attacchi SolarWinds. "L'impatto di tali attacchi sugli strumenti di sviluppo come PEAR è ancora più significativo in quanto è probabile che lo eseguano sui propri computer prima di implementarlo sui server di produzione, creando un'opportunità per gli aggressori di orientarsi nella rete interna delle aziende,I ricercatori del sonar hanno detto.
La prima vulnerabilità deriva da un commit del codice effettuato a marzo 2007 ed è associato all'uso del crittograficamente insicuro mt_rand() funzione PHP nella funzionalità di reimpostazione della password. Il problema potrebbe consentire a un attore di minacce di farlo “scoprire un token di reimpostazione della password valido in meno di 50 cerca,” come da rapporto. Gli scenari di attacco includono il targeting degli account di sviluppatori e amministratori esistenti e il loro dirottamento per pubblicare versioni non autorizzate di pacchetti gestiti dagli sviluppatori, creando le condizioni per un attacco alla catena di approvvigionamento.
CVE-2020-36193
La seconda vulnerabilità è CVE-2020-36193 e potrebbe aiutare gli attori delle minacce a guadagnare persistenza. Il problema CVE-2020-36193 deve essere concatenato con la vulnerabilità precedente affinché si verifichi un exploit riuscito. Il difetto deriva dal cosiddetto di ragnatela fare affidamento su una versione precedente di Archivio_Tar, e potrebbe portare all'esecuzione di codice arbitrario.
“Dopo aver trovato un modo per accedere alle funzionalità riservate agli sviluppatori approvati, è probabile che gli attori delle minacce cercheranno di ottenere l'esecuzione di codice in modalità remota sul server. Tale scoperta garantirebbe loro capacità operative considerevolmente maggiori: anche se il bug menzionato in precedenza finisce per essere risolto, una backdoor consentirebbe di mantenere un accesso persistente al server e di continuare a modificare i rilasci dei pacchetti. Potrebbe anche aiutarli a nascondere le loro tracce modificando i registri di accesso,Aggiunto il rapporto del Sonar.
La buona notizia è che i manutentori hanno rilasciato una prima patch il 4 agosto, in cui hanno introdotto un metodo sicuro per generare byte pseudo-casuali nella funzionalità di reimpostazione della password. Puoi leggere di più a riguardo in il report originale.
In 2021, il server PHP Git ufficiale era compromessa in un attacco alla catena di fornitura del software. Gli aggressori hanno spinto aggiornamenti non autorizzati per impiantare una backdoor nel codice sorgente del server.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: