Attacco a PHP: criminali informatici aggiungono codice per prendere il controllo dei server web

Git è una soluzione per il controllo distribuito dello sviluppo del software ideata da Linus Torvalds nel 2005.
La comunità di programmatori che si occupa dello sviluppo del linguaggio PHP ha fino ad oggi utilizzato il server Git rispondente all’indirizzo git.php.net per la gestione del codice sorgente.

A dimostrazione di quanto gli attacchi dei criminali informatici stiano sempre più bersagliando la supply chain (ne parlavamo appena qualche giorno fa: vedere Un ricercatore spiega come è riuscito a far breccia nelle reti di 35 famose aziende e Nasce sigstore, meccanismo utilizzabile per firmare il codice opensource. Voluto da Google e Linux Foundation), gli svilupppatori di PHP hanno annunciato che il server Git di PHP è stato nelle scorse ore preso di mira da malintenzionati non ancora identificati.

Spacciandosi per due tra i più noti amministratori del progetto, Rasmus Lerdorf e Nikita Popov, gli aggressori hanno aggiunto alcune righe di codice nel sorgente di PHP che di fatto permettono l’esecuzione di comandi arbitrari da remoto su tutti i server web che usano una versione di PHP generata a partire dal sorgente modificato.

Per nascondere il loro operato gli aggressori hanno provato a nascondere le modifiche commentandole con l’indicazione fix typo ovvero spacciandole per un intervento minore volto a correggere un errore materiale.

In realtà gli sviluppatori si sono accorti che il codice aggiunto attivava la gestione di un parametro addizionale attraverso header HTTP. Aggiungendo il parametro zerodium (tale nome è lo stesso di una azienda specializzata nella sicurezza informatica che non ha ovviamente alcuna relazione con l’attacco) nelle intestazioni HTTP (procedura quindi semplicissima da mettere in atto) chiunque avrebbe potuto specificare i comandi da eseguire sul server web ospitante la versione di PHP “malevola”.

Le righe di codice dannose sono state immediatamente rimosse dal sorgente di PHP ma sono in corso una serie di verifiche per fare completa luce sull’accaduto.
Nel frattempo, a titolo cautelativo, gli sviluppatori di PHP hanno deciso di trasferire il sorgente su GitHub abbandonando l’infrastruttura alla base di git.php.net.
Tutti coloro che vorranno contribuire allo sviluppo del progetto PHP su GitHub dovranno necessariamente attivare l’autenticazione a due fattori come misura di sicurezza aggiuntiva.

Sebbene sia stato rapidamente individuato e neutralizzato l’incidente occorso in casa PHP è grave. Basti pensare che qualcosa come il 79% di tutti i siti web a livello mondiale usa proprio il linguaggio PHP e le soluzioni server su esso costruite.