Beveiligingsonderzoekers hebben onlangs twee kritieke codekwetsbaarheden geïdentificeerd in een centraal onderdeel van de PHP-toeleveringsketen. genaamd PEAR, of PHP-extensie en applicatierepository, de component is zowel een raamwerk als een distributiesysteem voor herbruikbare PHP-componenten. De twee PEAR-kwetsbaarheden hadden gemakkelijk kunnen worden geïdentificeerd en uitgebuit door dreigingsactoren, aldus de onderzoekers, met bijna geen technische expertise of kennis nodig.
PEAR PHP-repository-kwetsbaarheden: Wat is bekend??
Specifieker, de problemen dateren van tenminste 15 jaar, en bevinden zich in de PEAR PHP-repository. Als resultaat van een succesvolle exploit, aanvallers kunnen een supply chain-aanval uitvoeren die leidt tot ongeautoriseerde toegang en het uitvoeren van willekeurige code.
In termen van impact en gevolgen, Sonar-onderzoekers vergelijken de PEAR-kwetsbaarheden met de SolarWinds-aanvallen. “De impact van dergelijke aanvallen op ontwikkelaarstools zoals PEAR is zelfs nog groter, omdat ze het waarschijnlijk op hun computers zullen uitvoeren voordat ze het op productieservers implementeren., het creëren van een mogelijkheid voor aanvallers om te draaien in het interne netwerk van bedrijven,"Sonar-onderzoekers zeiden:.
De eerste kwetsbaarheid komt voort uit een codecommit in maart 2007 en wordt geassocieerd met het gebruik van de cryptografisch onveilige mt_rand() PHP-functie in de wachtwoordherstelfunctie. Het probleem kan een bedreigingsactor in staat stellen om: “ontdek een geldig wachtwoordresettoken in minder dan 50 probeert,” volgens het rapport. Aanvalscenario's omvatten het targeten van bestaande ontwikkelaars- en beheerdersaccounts en deze kapen om malafide versies van door ontwikkelaars onderhouden pakketten te publiceren, de voorwaarden scheppen voor een supply chain-aanval.
CVE-2020-36193
De tweede kwetsbaarheid is CVE-2020-36193 en kan dreigingsactoren helpen om persistentie te krijgen. Het probleem CVE-2020-36193 moet worden gekoppeld aan de eerdere kwetsbaarheid om een succesvolle exploit te laten plaatsvinden. De fout komt voort uit de zogenaamde peerweb's vertrouwen op een oudere versie van Archive_Tar, en kan leiden tot het uitvoeren van willekeurige code.
"Na het vinden van een manier om toegang te krijgen tot de functies die zijn voorbehouden aan goedgekeurde ontwikkelaars, dreigingsactoren zullen waarschijnlijk proberen om externe code op de server uit te voeren. Een dergelijke ontdekking zou hen aanzienlijk meer operationele mogelijkheden geven: zelfs als de eerder genoemde bug uiteindelijk wordt opgelost, een achterdeur zou het mogelijk maken om blijvende toegang tot de server te behouden en door te gaan met het wijzigen van de releases van pakketten. Het kan hen ook helpen hun sporen te verbergen door toegangslogboeken aan te passen,Sonar's rapport toegevoegd.
Het goede nieuws is dat de beheerders op 4 augustus een eerste patch hebben uitgebracht, waarin ze een veilige methode hebben geïntroduceerd om pseudo-willekeurige bytes te genereren in de wachtwoordresetfunctie. Je leest er meer over in het oorspronkelijke rapport.
In 2021, de officiële PHP Git-server was gecompromitteerd in een software supply chain-aanval. De aanvallers hebben ongeautoriseerde updates gepusht om een achterdeur in de broncode van de server te implanteren.