Hackers zijn erin geslaagd om een backdoor te plaatsen in de officiële Git-repository van programmeertaal PHP. Ze voerden twee commando’s in die zich voordeden als kleine aanpassingen. In werkelijkheid konden ze door deze wijzigingen een 'remote code execution' uitvoeren. Daarmee is het mogelijk om websites die op PHP draaien aan te vallen. Het lek werd op tijd ontdekt en gedicht, zodat er geen websites die op PHP-draaien de dupe zijn van de backdoor.
Wat is PHP?
PHP (PHP: Hypertext Preprocessor) is een scripttaal, die bedoeld is om op webservers dynamische webpagina's te creëren. PHP is in 1994 ontworpen door Rasmus Lerdorf, een senior softwareontwikkelaar bij IBM. Lerdorf gebruikte Perl als inspiratie.
Aanvankelijk stonden de letters PHP voor Personal Home Page (de volledige naam was Personal Home Page/Forms Interpreter, PHP/FI). Sinds PHP 3.0 is de betekenis een recursief acroniem geworden: PHP: Hypertext Preprocessor. Deze naam geeft aan waar de taal meestal voor gebruikt wordt: informatie verwerken tot hypertext (meestal HyperText Markup Language (HTML) en Extensible HyperText Markup Language (XHTML)).
Aanval vond zondag plaats
De aanval vond zondag plaats en kwam aan het licht dankzij oplettende PHP-gebruikers. Wat we tot nu toe weten is dat hackers twee commits uitvoerden op de main repository van PHP. Naar alle waarschijnlijkheid hebben de aanvallers deze commits kunnen uitvoeren door gebruik te maken van de accounts van de twee hoofdprogrammeurs van PHP: Nikita Popov en Rasmus Lerdorf.
De aanvallers waren zodoende in staat om een backdoor te plaatsen. Deze kon gebruikt worden om websites die ontwikkeld zijn met PHP aan te vallen. En dat zijn er heel wat: volgens het World Wide Web Consortium (W3) draait bijna 80 procent van alle websites wereldwijd op PHP. Goede nieuws is dat de commits niet zijn doorgezet naar de release en dat het lek inmiddels is gedicht. De kans dat PHP-websites door het beveiligingslek zijn getroffen en een verborgen achterdeur hebben gekregen, is zeer klein.
Popov zegt dat hij niet precies kan zeggen hoe de aanval heeft kunnen plaatsvinden. Volgens hem ‘wijst alles erop’ dat de Git-server git.php.net is aangevallen.
Git-server niet meer veilig
Door de aanval is de Git-server niet meer veilig en hebben de hoofdprogrammeurs maatregelen moeten nemen. In een verklaring schrijven ze hierover het volgende: “Hoewel het onderzoek nog gaande is, hebben we besloten dat het onderhouden van onze eigen Git-infrastructuur een onnodig veiligheidsrisico is, en dat we stoppen met de git.php.net server. In plaats daarvan zullen de repositories op GitHub, die voorheen alleen mirrors waren, canonical worden. Dit betekent dat wijzigingen direct naar GitHub gepusht moeten worden in plaats van naar git.php.net.”
Om in de toekomst commits aan te brengen, moeten ontwikkelaars zich officieel aanmelden bij de PHP organisatie op GitHub. “Als je nog geen deel uitmaakt van de organisatie, of geen toegang hebt tot een repository waar je wel toegang tot zou moeten hebben, neem dan via e-mail contact met me op met je php.net en GitHub account namen, alsook de permissies die je momenteel mist”, schrijft Popov. Leden zijn verplicht om tweefactorauthenticatie (2FA) in te schakelen als ze zich aanmelden voor een lidmaatschap.
Naast de twee ontdekte malafide commits onderzoeken Popov en Lerdorf of de hackers ook nog andere aanpassingen hebben gedaan in de main repository van de programmeertaal PHP.
Bron: web.php.net, wikipedia.org, vpngids.nl
Tips of verdachte activiteiten gezien? Meld het hier.
Hacking berichten
Is jouw printer de open deur voor hackers?
Wees voorzichtig met je printer. Een slecht ingestelde printer kan de deur openen voor hackers.
Binnen 3 seconden Game Over
Buiten het medeweten van velen, heeft Microsoft vorige maand een van de meest ernstige bugs hersteld die ooit aan het bedrijf zijn gemeld, een probleem dat misbruikt kon worden om gemakkelijk Windows-servers over te nemen die als domeincontrollers in bedrijfsnetwerken werden uitgevoerd.
Spoofing aanvallen op herverbindingen in Bluetooth, gevolg miljarden apparaten kwetsbaar
Smartphones, tablets, laptops, IoT-toepassingen, al deze apparaten lopen potentieel gevaar.
'Password spraying' en 'Brute force' aanvallen in aanloop naar de verkiezingen in de Verenigde Staten
Organisaties betrokken bij de verkiezingen in de Verenigde Staten en het Verenigd Koninkrijk zijn het doelwit van aanvallen waarbij aanvallers via brute force en password spraying toegang tot Office365-accounts proberen te krijgen, zo stelt Microsoft.
DDoS aanval ter afleiding om vervolgens Malware te injecteren bij Tesla
De Amerikaanse FBI heeft een Rus opgepakt, die ervan wordt verdacht dat hij autofabrikant Tesla wilde hacken.
Inloggegevens van zeker 900 Nederlandse bedrijven online gezet
Een hacker heeft de inloggegevens van zeker 900 Nederlandse bedrijven online gezet. Hij maakte handig gebruik van een kwetsbaarheid in de zakelijke VPN-software 'Pulse Secure'. Wat het incident nog erger maakt is dat het aantal slachtoffers veel lager had kunnen liggen.