Hackers zijn erin geslaagd om een backdoor te plaatsen in de officiële Git-repository van programmeertaal PHP. Ze voerden twee commando’s in die zich voordeden als kleine aanpassingen. In werkelijkheid konden ze door deze wijzigingen een 'remote code execution' uitvoeren. Daarmee is het mogelijk om websites die op PHP draaien aan te vallen. Het lek werd op tijd ontdekt en gedicht, zodat er geen websites die op PHP-draaien de dupe zijn van de backdoor.
Wat is PHP?
PHP (PHP: Hypertext Preprocessor) is een scripttaal, die bedoeld is om op webservers dynamische webpagina's te creëren. PHP is in 1994 ontworpen door Rasmus Lerdorf, een senior softwareontwikkelaar bij IBM. Lerdorf gebruikte Perl als inspiratie.
Aanvankelijk stonden de letters PHP voor Personal Home Page (de volledige naam was Personal Home Page/Forms Interpreter, PHP/FI). Sinds PHP 3.0 is de betekenis een recursief acroniem geworden: PHP: Hypertext Preprocessor. Deze naam geeft aan waar de taal meestal voor gebruikt wordt: informatie verwerken tot hypertext (meestal HyperText Markup Language (HTML) en Extensible HyperText Markup Language (XHTML)).
Aanval vond zondag plaats
De aanval vond zondag plaats en kwam aan het licht dankzij oplettende PHP-gebruikers. Wat we tot nu toe weten is dat hackers twee commits uitvoerden op de main repository van PHP. Naar alle waarschijnlijkheid hebben de aanvallers deze commits kunnen uitvoeren door gebruik te maken van de accounts van de twee hoofdprogrammeurs van PHP: Nikita Popov en Rasmus Lerdorf.
De aanvallers waren zodoende in staat om een backdoor te plaatsen. Deze kon gebruikt worden om websites die ontwikkeld zijn met PHP aan te vallen. En dat zijn er heel wat: volgens het World Wide Web Consortium (W3) draait bijna 80 procent van alle websites wereldwijd op PHP. Goede nieuws is dat de commits niet zijn doorgezet naar de release en dat het lek inmiddels is gedicht. De kans dat PHP-websites door het beveiligingslek zijn getroffen en een verborgen achterdeur hebben gekregen, is zeer klein.
Popov zegt dat hij niet precies kan zeggen hoe de aanval heeft kunnen plaatsvinden. Volgens hem ‘wijst alles erop’ dat de Git-server git.php.net is aangevallen.
Git-server niet meer veilig
Door de aanval is de Git-server niet meer veilig en hebben de hoofdprogrammeurs maatregelen moeten nemen. In een verklaring schrijven ze hierover het volgende: “Hoewel het onderzoek nog gaande is, hebben we besloten dat het onderhouden van onze eigen Git-infrastructuur een onnodig veiligheidsrisico is, en dat we stoppen met de git.php.net server. In plaats daarvan zullen de repositories op GitHub, die voorheen alleen mirrors waren, canonical worden. Dit betekent dat wijzigingen direct naar GitHub gepusht moeten worden in plaats van naar git.php.net.”
Om in de toekomst commits aan te brengen, moeten ontwikkelaars zich officieel aanmelden bij de PHP organisatie op GitHub. “Als je nog geen deel uitmaakt van de organisatie, of geen toegang hebt tot een repository waar je wel toegang tot zou moeten hebben, neem dan via e-mail contact met me op met je php.net en GitHub account namen, alsook de permissies die je momenteel mist”, schrijft Popov. Leden zijn verplicht om tweefactorauthenticatie (2FA) in te schakelen als ze zich aanmelden voor een lidmaatschap.
Naast de twee ontdekte malafide commits onderzoeken Popov en Lerdorf of de hackers ook nog andere aanpassingen hebben gedaan in de main repository van de programmeertaal PHP.
Bron: web.php.net, wikipedia.org, vpngids.nl
Tips of verdachte activiteiten gezien? Meld het hier.
Hacking berichten
Ziggo vraagt klanten nadrukkelijk het standaardwachtwoord te veranderen
Ziggo heeft klanten gewaarschuwd voor een kwetsbaarheid in de Wifibooster Ziggo C7. De provider vraagt klanten nadrukkelijk het standaardwachtwoord te veranderen als zij dat nog niet hebben gedaan.
Chinese hacker groep 'RedDelta' richt zich op het Vaticaan en katholieke organisaties
Vanaf begin mei 2020 behoorden het Vaticaan en het katholieke bisdom Hong Kong tot verschillende katholieke kerk gerelateerde organisaties die het doelwit waren van 'RedDelta'.
Ziggo's wifibooster C7 kwetsbaar voor hacking
Ziggo waarschuwt voor een kwetsbaarheid in de 'Wifibooster Ziggo C7'. "Om hacking en misbruik te voorkomen is het noodzakelijk uw wachtwoord en netwerknaam te wijzigen", aldus Ziggo in een mail naar hun klanten.
VS beschuldigt Chinese hackers die ook twee Nederlandse bedrijven hackten
Het Amerikaanse ministerie van Justitie beschuldigt twee Chinese hackers van cyberaanvallen die bedoeld zijn om bedrijfsgeheimen te ontvreemden, onder meer tegen onderzoekers die werken aan de ontwikkeling van een corona-virus-vaccin .
Twitter hacks uitgevoerd door groep internationale hackers, buitgemaakte bitcoins worden onderling verdeeld
Woensdagavond werd bekend dat tientallen Twitter-accounts van geverifieerde gebruikers zijn gehackt door kwaadwillenden met het doel om mensen op te lichten voor bitcoins.
Stel dat een hacker zonder je medeweten je e-mail kon lezen voordat het naar je werd doorgestuurd
Stel je voor wat er zou kunnen gebeuren als iemand zonder je medeweten elke e-mail van je kon onderscheppen en lezen voordat het naar je werd doorgestuurd.