COMPTOIR
  
register

Composé par ————— —— 35666 vues

Le serveur git officiel de PHP piraté, un backdoor installé en secret dans le code source

Si il est (malheureusement) monnaie courante que des serveurs de téléchargement soient piratés afin d’y introduire une version malveillante et, ainsi, contaminer un maximum de personne. Sauf que, cette fois-ci, il ne s’agit pas d’un repo de distribution de fichiers binaires comme les autres, mais de la forge de code Git de PHP, autrement dit, la modification a touché directement au code source d’un des langages de programmation les plus populaires côté back-end web (avec plus de 78 % des serveurs en 2018), au grand désespoir de certains.

 

php elephant

 

Ainsi, deux commits — modifications atomiques de code pour le gestionnaire de version — ont été envoyés de manière frauduleuse, autorisant de l’exécution de code distant depuis le header HTTP si le champ user agentt  (avec deux "t") contient « zerodium » (un nom porté par une boîte américaine qui n’a a priori rien demandé, mais dont le domaine d’expertise est, en effet, la sécurité informatique). Pour cela, l’identité de deux contributeurs cruciaux a été frauduleusement utilisée : Rasmus Lerdorf, le créateur du langage, et Nikita Popov, un employé de la firme JetBrains, contribuant activement au développement de PHP. Les pirates ont tenté de noyer le poisson en nommant leur contribution « Fix Typo » et « Revert: Revert: Fix typo », mais les mécanismes de code review ont détecté rapidement l’anomalie, qui ne s’est pas répercutée sur les releases publiques de PHP. Par mesure de précaution, les développeurs passent tout de même en revue l’historique récent des changements à la recherche d’autres potentielles modifications : on n’est jamais trop prudent.

 

Selon l’équipe, la vulnérabilité proviendrait du serveur git lui-même, et non d’un seul compte : c’est ainsi que le projet est désormais passé sur une sauvegarde du code sur GitHub seul, avec davantage de restrictions sur les conditions d’accès en écriture au code : authentification à deux facteurs et requête manuelle à l’administrateur afin de faire partie de l’organisation « php ». Comme quoi, bûcher dans le développement web ne rend pas invulnérable, ce qui n’est pas sans rappeler une certaine histoire de cordonnier et de chaussures... (Source : The Hacker News)

Un poil avant ?

Zaunkoenig M2K, le Nec plus ultra «made in germany» de la souris gaming légère et luxueuse ?

Un peu plus tard ...

Windows 10 proposerait de personnaliser l'utilisation de votre PC

Les 4 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Audiard, d'outre-tombe en Île-de-France, le Mercredi 31 Mars 2021 à 15h34  
par linkin623, le Mardi 30 Mars 2021 à 17h08
Citons Audiard : les cons, ça ose tout, et c'est d'ailleurs à ça qu'on les reconnait.
"Les cons, ça ose tout. C'est même à ça qu'on les reconnaît." est la citation exacte, tirée des Tontons flingueurs.
Et j'ajouterais que désormais mis sur orbite, ce con là n'a pas fini de tourner !
par linkin623, le Mardi 30 Mars 2021 à 17h08  
par Nicolas D., le Mardi 30 Mars 2021 à 13h13
Ah c'est bien vu, j'ai mis à jour en conséquence. Je n'avais pas tilté le revert du revert, ça c'est bien poilant ! Effectivement, c'est fishy ; on dirait que la personne voulait qu'on trouve le souci : un genre de 1er avril en avance ?
Citons Audiard : les cons, ça ose tout, et c'est d'ailleurs à ça qu'on les reconnait.

A moins que la personne en charge de placer des choses comme ça a décidé de saborder la backdoor pour se venger de son employeur (groupe de pirates ? Etat ? )
par Nicolas D., le Mardi 30 Mars 2021 à 13h13  
par dismuter, le Mardi 30 Mars 2021 à 12h42
Bon, quelques points :
- C'était même pas le vrai champ user agent, mais un champ custom qui jouait sur la similarité pour espérer ne pas être repéré : HTTP_USER_AGENTT (avec 2 T!). S'ils avaient utilisé le vrai champ user agent, ça aurait risqué d'être vite repéré à cause des nombreux outils web qui s'en servent, notamment pour les stats.
- JetBrains et non Jetbrain
- La 2ème contribution était Revert "Revert "Fix typo"". Le premier revert était du vrai Nikita, qui avait déjà repéré le souci donc, et ces idiots ont cru que ça pouvait servir à quelque chose de revert son revert, et en plus en se faisant passer pour lui. En fait ce dernier point me fait penser que ce 2ème commit c'était juste pour troller, une sorte de doigt d'honneur

Par contre j'ai pas compris pourquoi dans le code source (qui est court) ils ont mis "REMOVETHIS: sold to zerodium, mid 2017". C'est tellement suspect que je ne sais pas comment ils espéraient que ça passe inaperçu.
Ah c'est bien vu, j'ai mis à jour en conséquence. Je n'avais pas tilté le revert du revert, ça c'est bien poilant ! Effectivement, c'est fishy ; on dirait que la personne voulait qu'on trouve le souci : un genre de 1er avril en avance ?
par dismuter, le Mardi 30 Mars 2021 à 12h42  
Bon, quelques points :
- C'était même pas le vrai champ user agent, mais un champ custom qui jouait sur la similarité pour espérer ne pas être repéré : HTTP_USER_AGENTT (avec 2 T!). S'ils avaient utilisé le vrai champ user agent, ça aurait risqué d'être vite repéré à cause des nombreux outils web qui s'en servent, notamment pour les stats.
- JetBrains et non Jetbrain
- La 2ème contribution était Revert "Revert "Fix typo"". Le premier revert était du vrai Nikita, qui avait déjà repéré le souci donc, et ces idiots ont cru que ça pouvait servir à quelque chose de revert son revert, et en plus en se faisant passer pour lui. En fait ce dernier point me fait penser que ce 2ème commit c'était juste pour troller, une sorte de doigt d'honneur

Par contre j'ai pas compris pourquoi dans le code source (qui est court) ils ont mis "REMOVETHIS: sold to zerodium, mid 2017". C'est tellement suspect que je ne sais pas comment ils espéraient que ça passe inaperçu.