Sākumlapa » Apdraudējumi » Nenoskaidroti uzbrucēji mēģinājuši noorganizēt piegādes ķēdes uzbrukumu miljoniem vietņu pasaulē

Nenoskaidroti uzbrucēji mēģinājuši noorganizēt piegādes ķēdes uzbrukumu miljoniem vietņu pasaulē

Pirms dažām dienām nezināmi uzbrucēji mēģināja pievienot PHP programmēšanas valodas kodam lūku. Lasiet par to, kas notika un kādas tam varēja būt sekas globālā mērogā.

Šī gada 28. martā nezināmi uzbrucēji mēģināja veikt liela mēroga piegādes ķēdes uzbrukumu, augšupielādējot ļaunprātīgu kodu oficiālajā PHP Git repozitorijā. Ja PHP izstrādātāji nebūtu pamanījuši lūku, tā varētu nonākt daudzos tīmekļa serveros visā pasaulē – tas kļūtu par lielāko līdz šim zināmo piegādes ķēdes uzbrukumu!

Kas notika ar PHP

Programmētāji, kas strādā pie PHP valodas izstrādes, izmaiņas kodā pievieno kopīgā repozitorijā, kas izveidots, balstoties uz versiju kontroles sistēmu Git. Pēc papildinājumu veikšanas kods tiek papildus pārbaudīts. Kārtējās pārbaudes laikā izstrādātājs, kurš to veica, pamanīja aizdomīgu papildinājumu – tas komentāros bija atzīmēts kā pārrakstīšanās kļūdas labojums un pievienots viena no aktīvajiem PHP izstrādes dalībniekiem Ņikitas Popova vārdā. Pēc rūpīgākas izpētes tika konstatēts, ka tā ir lūka, un Ņikita, protams, neko tādu nebija pievienojis.

Pēc papildus pārbaudes izrādījās, ka līdzīgs papildinājums repozitorijā ticis augšupielādēts vēl vienu reizi, šoreiz viena no PHP radītājiem Rasmusa Lerdorfa vārdā. Pateicoties programmētāju modrībai, izmaiņas tika pamanītas ne vēlāk kā pāris stundas pēc to pievienošanas, tāpēc gaidāmais PHP 8.1 atjauninājums, kuram vajadzētu būt gatavam līdz gada beigām, tiks izlaists bez šīs lūkas.

Kas tā bija par PHP koda lūku un kāpēc tā bija bīstama

Repozitorijam pievienotā lūka varētu ļaut uzbrucējiem attālināti palaist ļaunprātīgu kodu tīmekļa serverī, kurā izmantota šī PHP versiju. Lai gan PHP pamazām zaudē popularitāti, šī skriptu valoda joprojām ir visplašāk izmantotais rīks vietņu izveidei, un to izmanto aptuveni 80% tīmekļa serveru. Un, lai arī ne visi administratori atjaunina savus rīkus, diezgan daudz serveru tiek atjaunināti saskaņā ar regulatoru prasībām vai iekšējās drošības noteikumiem. Tātad, ja lūka nokļūtu jaunajā PHP versijā, tā, visticamāk, nonāktu daudzu uzņēmumu tīmekļa serveros.

Kā uzbrucējiem izdevās ievietot lūku PHP kodā

Izmeklēšana turpinās, taču līdz šim eksperti ir pārliecināti, ka tas nav noticis kompromitētu izstrādātāju kontu rezultātā, bet gan tāpēc, ka pašā iekšējā Git serverī ir kaut kāda veida ievainojamība. Jau ilgu laiku ir zināms, ka ar pienācīgu prasmi ir iespējams pierakstīt cita lietotāja autorību serverī veiktām patvaļīgām izmaiņām. Pēc šī incidenta PHP atbalsta komanda nolēma pārtraukt sava git.php.net servera izmantošanu un pāriet uz GitHub pakalpojuma repozitoriju (tas tika izmantots iepriekš, bet tikai kā spogulis).

Kā palikt drošībā

Izstrādes vide ir ļoti iekārojams mērķis kibernoziedzniekiem. Kompromitējot programmatūras kodu, kuram klienti uzticas, viņi sarežģītā piegādes ķēdes uzbrukumā var vienā rāvienā piekļūt daudziem mērķiem. Īpaši svarīgi ir aizsargāt no ārējas iejaukšanās kodu tādos populāros projektos kā PHP, kuru izmanto miljoniem lietotāju visā pasaulē.

  • Kā rāda PHP atbalsta komandas piemērs, ir ārkārtīgi svarīgi regulāri atkārtoti pārbaudīt visas koda izmaiņas, pat ja tās veic labi pazīstami un uzticami programmētāji.
  • Ir ārkārtīgi svarīgi sekot līdzi izstrādē izmantoto serveru un pakalpojumu drošībai.
  • Visiem procesa dalībniekiem ir jāsaprot uzbrucēju tipiskie mērķi un taktika, lai savlaicīgi pamanītu mēģinājumu kompromitēt projektu. Lai apmācītu uzņēmumu darbiniekus pamanīt mūsdienu kiberdraudus, var izmantot specializētas tiešsaistes platformas.

Izmantoti Kaspersky materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

68 − = 65

Uz augšu