Od rana czekam na moment, w którym będę mógł podzielić się z wami informacją o „ciekawym” wydarzeniu jakie miało miejsce wczoraj: 28 marca 2021. Dopiero wieczorem znalazłem chwilę, żeby do usiąść do pisania, ale na szczęście temat jest krótki, więc nie zarwę nocki, a wart wspomnienia więc nie odpuszczę 🙂 Co się wczoraj wydarzyło?

Jeden z głównych programistów języka PHP poinformował o dwóch nieautoryzowanych i zatwierdzonych zmianach w repozytorium git php-src. Te dwie zmiany to backdoory, które umożliwiają skuteczny atak poprzez na strony oparte o PHP, atak który może skutkować nawet przejęciem kontroli nad serwerem.

Furtki Wrzucone do repozytorium umożliwiają wykonywanie poleceń po stronie serwera, a więc można tworzyć i usuwać pliki, kraść dane zgromadzone na serwerze i jego stronach, w zasadzie daje to ogromne możliwości zasiania i rozkwitu spustoszenia na dużą skalę.

Co to jest PHP

PHP to jeden z najpopularniejszych języków, w którym tworzone są rozmaite aplikacje webowe w tym większość popularnych systemów CMS takich jak WordPress. Podobnie jak on, PHP to również projekt OpenSource, co oznacza że kod źródłowy dostępny jest dla wszystkich, a nad jego rozwojem może pracować każdy zainteresowany programista, który zostanie przyjęty do grupy współtworzącej ten język.

Jak doszło do kompromitacji

Do tej pory grupa programistów rozwijających PHP pracowała na własnym, hostowany przez siebie serwerze git, do którego najwyraźniej ktoś się włamał i tym samym wpuścił oraz zatwierdził z pozoru drobne zmiany jak rzekoma poprawa literówki, która w rzeczywistości była backdorem.

Włamywacz w taki sposób opisał modyfikacje, żeby inni programiści sądzili, że stoją za nimi konta dwóch najbardziej szanowanych współtwórców PHP: Nikita Popov i Rasmus Lerdorf. Obaj stanowczo zaprzeczyli jak i cała grupa, że do ataku zostały wykorzystane ich konta. Twierdzą, że ktoś po prostu włamał się do infrastruktury git i zrobił to co zrobił wpuszczając złośliwy kod do repozytorium PHP.

W komentarzach wewnątrz plików znaleziono zapis, który miał także skierować wzrok na firmę Zerodium, z której rzekomo miały wyciec dane, co ostatecznie poskutkowało włamaniem: „REMOVETHIS: sold to Zerodium, mid 2017”. Chaouki Bekrar, dyrektor generalny Zerodium, szybko opublikował oświadczenie, w którym zaprzeczył jakiemukolwiek udziałowi w tym incydencie.

Grupa PHP zapowiedziała, że zrezygnuje z własnego git-a i przeniesie się na GitHub. Będą także wymagać uwierzytelniania dwuskładnikowego na wszystkich kontach w celu zwalczania naruszeń, które mogą prowadzić do nieautoryzowanych zatwierdzeń jak te wczorajsze.

Czy będzie to miało negatywne konsekwencje dla stron działających na WordPressie?

To co przeczytaliście powyżej może wystraszyć, prawda? Na szczęście cała akcja została wykryta błyskawicznie, co oznacza że wasze strony działające na PHP jak i wy sami oraz wasi Klienci nie musicie się niczego obawiać.

Nikita Popov w swoim oświadczeniu podał, że:

Zmiany dotyczyły gałęzi rozwojowej PHP 8.1, która ma zostać wydana pod koniec roku.

Mówiąc prościej, złośliwy kod nie został wrzucony do wersji produkcyjnej PHP, można więc spać spokojnie z pewnością, że nie dotrze na serwer. Poza tym i tak w większości przypadków WordPress jest uruchamiany na wersji PHP 7.4 i starszych z uwagi na fakt, że wersja 8 nie jest jeszcze wspierana przez część motywów i wtyczek WordPress.

Podsumowanie

Dlaczego zdecydowałem się wspomnieć o tym wydarzeniu, pomimo, że w rzeczywistości nie zagroziło żadnej z Waszych stron? Przede wszystkim po to, abyście byli świadomi różnorodności zagrożeń. To nie tylko możliwa luka w WordPressie, wtyczce czy motywie, to także błędy po stronie narzędzi serwera, nad którymi tak naprawdę nie ma się kontroli do czasu ich wykrycia i załatania.

W tytule napisałem, podobnie jak WordFence, o kompromitacji PHP. Poniekąd tak można to wydarzenie określić, ale też nie przesadzajmy. Nie róbmy z tego wielkiego szumu, bo niestety często mamy tendencję do hejtowania kogoś kto popełnia błąd, tak jakbyśmy my nigdy go nie popełnili. Kto z nas jest wolny od błędów? Nie ma nikogo, więc darujemy sobie jakąkolwiek nagonkę na twórców PHP, którzy robią dla nas kawał dobrej roboty.

Na szczęście w ciągu kilku godzin złośliwy kod został wykryty i usunięty, co dobrze świadczy o osobach odpowiedzialnych za rozwój języka.

Błędy zdarzają się wszędzie i mogą nas zaskoczyć w najmniej odpowiedniej chwili, dlatego bądźcie ich świadomi i starajcie się należycie chronić swoją własność. Nie ochronicie jej w 100%, bo nie ma takich zabezpieczeń, ale możecie zrobić na tym polu naprawdę dużo. Zapraszam do lektury tekstu Jak zabezpieczyć WordPressa , gdzie znajdziecie wszystkie podstawowe czynności, które warto, czy wręcz trzeba wykonywać.

Udostępnij

Bezpłatne informacje o nowościach JZS

Zapraszam Cię do grona Subskrybentów! Tysiące Czytelników już subskrybuje wiadomości z JZS.

W każdej chwili możesz zrezygnować z subskrypcji. Twój adres jest tu bezpieczny.

Ostatnio dodane oferty lifetime

Stwórz natywną aplikację mobilną dla swojego sklepu WooCommerce

Meta Box Lifetime

Dodawaj własne rodzaje treści i pola do WordPressa.

Zestaw narzędzi do optymalizacji SEO, wyszukiwania fraz i śledzenia rankingów w Google.

Może Cię Zainteresować

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *