Cada día que pasa se vuelve más vulnerable los lenguajes de programación antiguos como el PHP, por eso esto representa una alarma para todos
Cuando navegamos por internet es más que probable que ingresemos a páginas web diversas, y por si no lo sabías cada una de ellas tiene un lenguaje y por lo general este tiene una estrecha relación con el código fuente de PHP.
Muchas son las páginas web que hacen uso de este código fuente, algo que es imprescindible para muchos de nosotros a la hora de navegar en estos y poder hacerlo de una manera totalmente segura además.
Existen muchas páginas web y poder hackearlas todas le sería imposible a un hacker por lo que se han ideado nuevas estrategias y han logrado dar con una de ellas y en esta oportunidad de esto es de lo que queremos hablarte.
En esta oportunidad vas a poder conocer muchos más detalles acerca de una nueva noticia que ha surgido y que tiene a muchos en alerta ya que el repositorio del código fuente de PHP ha sido hackeado, los detalles te los daremos a continuación.
Una alerta para los sitios web con PHP
A pesar de ser miles de millones de páginas web en todo el mundo la mayoría de estas emplean el lenguaje PHP mismo que se almacena, por así decirlo, en el repositorio Git interno, mismo al cual los hackers tuvieron acceso, lo que preocupa es que los hackers pudieron añadir una puerta trasera al código fuente.
Tal preocupación se debe a que casi un 80% de los sitios web emplean este código por lo que su acceso a este le da el acceso a los hackers para poder hacer lo que deseen, en esta oportunidad los hackers insertaron dos cambios maliciosos en el repositorio php-src, no se sabe la causa pero la investigación está sobre ruedas y todo apunta a que se comprometió el servidor oficial git.php.net.
El ataque fue detectado de forma rápida pero esto es sin duda una gran advertencia ya que este mecanismo de puerta trasera de haber llegado a producción hubiese permitido a los hackers que ejecutaran sus propios comandos PHP maliciosos en los servidores de sus víctimas.
Este tipo de mecanismo de ataque o hackeo se detectó por primera vez por un ingeniero de República Checa, Michael Voříšek.
Hay expertos quienes aseguran que los atacantes querían que se les descubriese o bien pudo haberse tratado de un cazador de bugs por los “mensajes” que en el código se encontraron y que fueron resultado del ataque.
Afortunadamente las cosas no pasaron a mayores puesto a que el atacante a fin de ejecutar su código malicioso debía enviar una petición HTTP a un servidor vulnerable empleando un user agent para comenzar con la cadena, “zerodium” algo que no se dio.
Zerodium cabe destacar que es una plataforma de ciberseguridad famosa y que se especializa en la adquisición y venta de exploits zero day por lo que cualquiera se confiaría pero ya esta misma ha aclarado no tener nada que ver con el hackeo, lo que deja la duda de lo que buscaba el hacker, solo se sabe que no quería sutilezas.
Los atacantes dejaron un mensaje en uno de los parámetros de la función que ejecuta, mismo que decía “REMOVETHIS: sold to zerodium, mid 2017″, como se ve claramente quieren implicar a Zerodium o referirse a esta, pero no se sabe qué se vendió a esta plataforma en el 2017 y si es cierto o no.
Muchas conjeturas se llevan a cabo en los chats de PHP en Stack Overflow, algunos dicen que fue un intento de hacking pobre de sombrero blanco mientras que otros aseguran que pudo haber sido un “skript-kiddie completamente inepto”.
En vista de lo sucedido y mientras siguen las investigaciones, el servidor git.php.net que ya ha demostrado ser un riego, ahora se descontinuará y pasará a ser GitHub donde antes eran solo los mirrors, pero ahora serán los principales por lo que los cambios deben enviarse de manera directa a GitHub y no a la anterior plataforma.
Para concluir se ha encontrado que el código maliciosos se añadió al código fuente desde los miembros del equipo core, Nikita Popov y Rasmus Lerdorf quienes ya expresaron no tener nafa que ver con ello, además el equipo emplea su autenticación de doble factor por lo que se cree que fue un gallo de Git y no la violación de alguna de las cuentas individuales.
Aunque el problema se “resolvió” a tiempo, de haber funcionado las webs que usan una versión de PHP sin soporte hubiesen sido las primeras en caer, hoy en día un 40% de estas cumplen esto, por lo que estas hubiesen sido afectadas.