مدیران زبان برنامه نویسی PHP در مورد حادثه امنیتی که اواخر ماه گذشته اتفاق افتاد ،اظهار کردند که مهاجمین ممکن است برای ایجاد تغییرات غیرمجاز در repository ، به دیتابیس کاربران در master.php.net نفوذ کرده و رمز عبور آنها را بدست آورده باشند.
نیکیتا پوپوف در پیامی که در 6 آوریل ارسال کرد ، گفت: "ما دیگر باور نداریم که به سرور git.php.net نفوذی انجام گرفته باشد. با این حال ، احتمال لو رفتن دیتای پایگاه داده کاربران master.php.net وجود دارد."
در تاریخ 28 مارس ، افراد ناشناسی از نام Rasmus Lerdorf و Popov استفاده کردند تا Commit های مخرب را که شامل اضافه کردن یک Backdoor به کد منبع PHP بود ، به مخزن "php-src" میزبانی شده در سرور git.php.net اضافه کنند.
در حالی که این واقعه در ابتدا به عنوان خطری برای سرور git.php.net تلقی می شد ، تحقیقات بیشتر در مورد این حادثه نشان داد که این Commit ها در نتیجه push آنها با استفاده از HTTPS و احراز هویت مبتنی بر رمز عبور بود ، و این احتمال نشت دیتا پایگاه داده کاربران master.php.net قوت داد.
پوپوف گفت: "git.php.net از push تغییرات نه تنها از طریق SSH (با استفاده از زیرساخت Gitolite و رمزنگاری کلید عمومی) ، بلکه از طریق HTTPS هم پشتیبانی می کند."
"مورد اخیر هم از Gitolite استفاده نکرد و در عوض از git-http-backend و احزار هویت Apache 2 Digest برای پایگاه داده کاربر master.php.net استفاده کرد."
"قابل توجه است که مهاجم فقط چند نام کاربری را حدس می زند و پس از یافتن نام کاربری صحیح ، با موفقیت احراز هویت می شود. گرچه ما هیچ مدرک خاصی برای این موضوع نداریم ، اما توضیح احتمالی این است که پایگاه داده کاربری master.php .net به بیرون درز کرده است ، اگرچه مشخص نیست که چرا مهاجم باید در این حالت نام کاربری را حدس بزند.
بعلاوه ، گفته می شود که سیستم احراز هویت master.php.net در یک سیستم عامل بسیار قدیمی و نسخه ای از PHP وجود دارد و این احتمال را می دهد که مهاجمان از یک آسیب پذیری در نرم افزار برای اجرای حمله استفاده کرده باشند.
در نتیجه هم مدیران علاوه بر تنظیم مجدد کلمه های عبور موجود و نوع رمزنگاری رمزهای عبور برای ذخیره با استفاده از bcrypt به جای هش MD5 ساده تغییر دادند همچنین master.php.net را به یک سیستم main.php.net با پشتیبانی از TLS 1.2 منتقل کردند.
برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!
Telegram.me/NovaSecurity
