Hackers plaatsten achterdeur in 'Hypertext Preprocessor' (PHP)

Gepubliceerd op 30 maart 2021 om 15:00

Hackers zijn erin geslaagd om een backdoor te plaatsen in de officiële Git-repository van programmeertaal PHP. Ze voerden twee commando’s in die zich voordeden als kleine aanpassingen. In werkelijkheid konden ze door deze wijzigingen een 'remote code execution' uitvoeren. Daarmee is het mogelijk om websites die op PHP draaien aan te vallen. Het lek werd op tijd ontdekt en gedicht, zodat er geen websites die op PHP-draaien de dupe zijn van de backdoor.

Wat is PHP?

PHP (PHP: Hypertext Preprocessor) is een scripttaal, die bedoeld is om op webservers dynamische webpagina's te creëren. PHP is in 1994 ontworpen door Rasmus Lerdorf, een senior softwareontwikkelaar bij IBM. Lerdorf gebruikte Perl als inspiratie.

Aanvankelijk stonden de letters PHP voor Personal Home Page (de volledige naam was Personal Home Page/Forms Interpreter, PHP/FI). Sinds PHP 3.0 is de betekenis een recursief acroniem geworden: PHP: Hypertext Preprocessor. Deze naam geeft aan waar de taal meestal voor gebruikt wordt: informatie verwerken tot hypertext (meestal HyperText Markup Language (HTML) en Extensible HyperText Markup Language (XHTML)).

Aanval vond zondag plaats

De aanval vond zondag plaats en kwam aan het licht dankzij oplettende PHP-gebruikers. Wat we tot nu toe weten is dat hackers twee commits uitvoerden op de main repository van PHP. Naar alle waarschijnlijkheid hebben de aanvallers deze commits kunnen uitvoeren door gebruik te maken van de accounts van de twee hoofdprogrammeurs van PHP: Nikita Popov en Rasmus Lerdorf.

De aanvallers waren zodoende in staat om een backdoor te plaatsen. Deze kon gebruikt worden om websites die ontwikkeld zijn met PHP aan te vallen. En dat zijn er heel wat: volgens het World Wide Web Consortium (W3) draait bijna 80 procent van alle websites wereldwijd op PHP. Goede nieuws is dat de commits niet zijn doorgezet naar de release en dat het lek inmiddels is gedicht. De kans dat PHP-websites door het beveiligingslek zijn getroffen en een verborgen achterdeur hebben gekregen, is zeer klein.

Popov zegt dat hij niet precies kan zeggen hoe de aanval heeft kunnen plaatsvinden. Volgens hem ‘wijst alles erop’ dat de Git-server git.php.net is aangevallen.

Git-server niet meer veilig

Door de aanval is de Git-server niet meer veilig en hebben de hoofdprogrammeurs maatregelen moeten nemen. In een verklaring schrijven ze hierover het volgende: “Hoewel het onderzoek nog gaande is, hebben we besloten dat het onderhouden van onze eigen Git-infrastructuur een onnodig veiligheidsrisico is, en dat we stoppen met de git.php.net server. In plaats daarvan zullen de repositories op GitHub, die voorheen alleen mirrors waren, canonical worden. Dit betekent dat wijzigingen direct naar GitHub gepusht moeten worden in plaats van naar git.php.net.”

Om in de toekomst commits aan te brengen, moeten ontwikkelaars zich officieel aanmelden bij de PHP organisatie op GitHub. “Als je nog geen deel uitmaakt van de organisatie, of geen toegang hebt tot een repository waar je wel toegang tot zou moeten hebben, neem dan via e-mail contact met me op met je php.net en GitHub account namen, alsook de permissies die je momenteel mist”, schrijft Popov. Leden zijn verplicht om tweefactorauthenticatie (2FA) in te schakelen als ze zich aanmelden voor een lidmaatschap.

Naast de twee ontdekte malafide commits onderzoeken Popov en Lerdorf of de hackers ook nog andere aanpassingen hebben gedaan in de main repository van de programmeertaal PHP.

Changes To Git Commit Workflow
PDF – 88,4 KB 299 downloads

Bron: web.php.net, wikipedia.org, vpngids.nl

Tips of verdachte activiteiten gezien? Meld het hier.

Hacking berichten

De gevaren van IoT zichtbaar in Rotterdam

Tot dinsdagmiddag was het voor iedereen mogelijk om de kleuren van de Erasmusbrug aan te passen via zijn tablet, smartphone of laptop. Door een gat in de beveiliging was het mogelijk om zonder gebruikersnaam en wachtwoord in te loggen op het systeem dat de lichtkleuren regelt. De gemeente Rotterdam heeft het bedieningssysteem uitgeschakeld en contact opgenomen met de leverancier van het systeem om herhaling te voorkomen.

Lees meer »

Tweede Kamerverkiezingen 2021 met behulp van "niet" hackbaar OSV systeem?

De Kiesraad kiest eieren voor zijn geld. Bij de volgende Tweede Kamerverkiezingen, die in maart 2021 plaatsvinden, gaat ze extra controles uitvoeren om de uitslagen vast te stellen. De 'Ondersteunende Software Verkiezingen' (OSV) is hiervoor ontwikkeld en veilig bevonden, maar de Stichting 'Tegen Hackbare Verkiezingen' waarschuwt voor fraude en manipulat

Lees meer »

Berichten lezen voordat ze versleuteld werden

Politie en justitie slaagden er eerder dit jaar in om EncroChat te kraken. Daarbij maakten de opsporingsdiensten meer dan 20 miljoen berichten waarin criminele activiteiten uit de doeken worden gedaan buit. Nu blijkt dat de politie begin 2019 al infiltreerde in de beveiligde chatdienst. Daarbij wist de handhavingsinstantie de hand te leggen op foto’s, notities en financiële gegevens van de chatdienst.

Lees meer »