Piratas informáticos han violado el repositorio principal de Git del lenguaje de programación PHP, git.php.net, agregando una puerta trasera al código fuente que podría permitir que un atacante acceda a millones de servidores en todo el mundo.

Sin embargo, aunque parece que estemos ante el próximo Solar Winds, los piratas informáticos también dejaron un llamativo aviso para el equipo de desarrollo de PHP, lo que parece más un toque de atención sobre la vulnerabilidad que una explotación directa.

PHP hackeado

Puerta trasera de RCE en el servidor de PHP hackeado.

El equipo de desarrollo de PHP publicó un aviso oficial confirmando la violación del código fuente el domingo 28 de marzo.

La declaración confirma que el código fuente PHP fue modificado y enviado al servidor Git de PHP.

La puerta trasera, que no ha entrado en producción (lo que significa que no ha sido enviada en vivo a ningún servidor), habría permitido a un atacante ejecutar código en cualquier servidor PHP vulnerable. Otorgaría un acceso significativo a un actor de amenazas y presentaría un peligro significativo ya que se estima que entre el 79-80% de las páginas web de Internet usan este lenguaje de programación.

Ahora bien, para activar el “nuevo código” habría que enviar una solicitud a una cadena específica llamada zerodium. Parece que el nombre no está elegido al azar ya que, Zerodium es la “compañía líder de adquisición de exploits para 0-days” y, por este motivo, parece que los atacantes tenían intención de avisar sobre la vulnerabilidad que de explotarla activamente, aunque no podemos dar nada por sentado.

Nuevas medidas de seguridad para PHP.

Debido al incidente, el equipo de PHP va a modificar la forma en que administra el acceso a su servidor Git, haciendo que sus repositorios GitHub sean la base de código para el proyecto, en lugar de solo un espejo del mismo como es actualmente.

Mientras [la] investigación aún está en curso, hemos decidido que mantener nuestra propia infraestructura en git es un riesgo de seguridad innecesario, y que descontinuaremos el servidor git.php.net. En cambio, los repositorios en GitHub, que anteriormente eran solo espejos, se volverán canónicos. Esto significa que los cambios deben enviarse directamente a GitHub en lugar de a git.php.net.