在最新的軟件供應鏈攻擊中，PHP官方Git倉庫被黑客攻擊，代碼庫被篡改。近日，PHP維護人員表示黑客可能已經擁有了包含密碼的用戶數據庫。

[[392087]]

3月28日，攻擊者使用PHP的作者Rasmus Lerdorf和Jetbrains開發者Nikita Popov的賬號，向git.php.net服務器上的 php-src 存儲庫推送了兩次惡意提交。

用戶數據庫可能已被入侵

此次事件最初被視為git.php.net服務器的泄露。但對事件進行進一步調查發現，這些提交是使用HTTPS和基于密碼的認證推送的結果，這讓研究人員懷疑master.php.net用戶數據庫可能存在泄露。

同時，研究人員還發現黑客需要對用戶名進行幾次猜測，一旦找到正確的用戶名，就會成功認證。但如果數據庫已經泄露，為什么黑客還需要進行猜測呢?目前，研究人員還沒有找到原因。

此外，據說master.php.net認證系統使用的是非常老的操作系統和PHP的版本，這就使得攻擊者也有可能利用軟件的漏洞來發動攻擊。

因此，維護者已經將master.php.net遷移到新的main.php.net系統中，并支持TLS 1.2。此外，維護者還重置了所有現有的密碼，并使用bcrypt而不是普通的MD5哈希存儲密碼。

事件回顧

PHP Git服務器被植入RCE后門

PHP是一種開源的計算機腳本語言，為互聯網上超過79%的網站提供動力。因此，事件一經曝光被引起了強烈關注。

負責人Popov在公告中表示，他們目前還不知道事件是怎樣發生的，但是此次事件導致的后果是git.php.net服務器的數據泄露而不是簡單的單個賬號的泄露。

官方公告

經觀察，在兩個惡意提交中，攻擊者在上游發布了一個假裝成修正文字輸入錯誤的神秘修改。

攻擊者以Rasmus Lerdorf的身份簽署的惡意提交(非法)植入遠程代碼執行后門

然而，仔細檢查一下新增的第370行調用zend_eval_string函數的地方，可以發現，這段代碼實際上是為運行被劫持的PHP版本的網站植入了一個后門，以獲得輕松的遠程代碼執行(RCE)。

PHP的開發者表示，如果字符串以'zerodium'開頭，這一行就會從useragent HTTP頭內執行PHP代碼。

此外，惡意代碼中包含了一條注解 “REMOVETHIS: sold to zerodium, mid 2017”。值得注意的是，Zerodium是一家知名的零日漏洞經紀商，而注釋的意思是“漏洞在2017年中出售給了zerodium”。對此，而Zerodium的CEO Chaouki Bekrar認為攻擊者很可能試圖出售這個漏洞，但找不到賣家，所以攻擊者干脆自己惡搞。

不過，PHP相關負責人表示，惡意提交幾小時后，就被他們在進行常規的代碼審查時發現。這些更改的惡意很明顯，所以很快被還原了。

對于Git這樣的源代碼版本控制系統來說，這樣的事件會發生很正常。因為可以把提交的內容為打上本地任何一個人的簽名，然后再把偽造的提交內容上傳到Git服務器上。這樣一來，就會讓人覺得這個提交確實是由簽名的人提交的。

PHP官方代碼庫遷移到GitHub

作為此次事件后的預防措施，PHP維護人員決定將PHP官方源碼庫遷移至GitHub。

他們表示，雖然調查還在繼續，但為了減少自己的Git基礎設施所面對的風險，他們決定關閉git.php.net的服務器。原本只是鏡像的GitHub上的存儲庫，之后將成為正式服務器。

并且，從現在開始，任何修改都要直接推送到GitHub上而不是原先的服務器。

那些想要幫助PHP的人可以申請在GitHub上被添加為PHP組織的一部分。不過，如果要成為該組織的一員，先要在自己的GitHub賬戶上開啟雙因素認證。

目前，PHP還在檢查除了那兩個惡意提交外的威脅，并且檢查是否有任何代碼再惡意提交被發現之前被分發到下游。

來源：bleepingcomputer