Dalam serangan rantai pasokan perangkat lunak terbaru, repositori resmi PHP Git diretas dan basis kode dirusak. Kemarin, dua komit berbahaya didorong ke repositori php-src Git yang dikelola oleh tim PHP di server git.php.net mereka. Aktor ancaman telah menandatangani komitmen ini seolah-olah ini dibuat oleh pengembang dan pengelola PHP terkenal, Rasmus Lerdorf dan Nikita Popov.
Backdoor RCE ditanam di server PHP Git
Dalam upaya untuk mengkompromikan basis kode PHP, dua komit berbahaya didorong ke repositori resmi PHP Git kemarin.
Insiden ini mengkhawatirkan mengingat PHP tetap menjadi bahasa pemrograman sisi server yang menguasai 79% situs web di Internet.
Penyerang mengupload perubahan misterius”perbaiki kesalahan ketik” dengan dalih koreksi tipografi kecil.
Namun, perhatikan baris 370 yang ditambahkan di mana fungsi zend_eval_string dipanggil, kode sebenarnya menanamkan backdoor untuk mendapatkan Remote Code Execution (RCE) yang mudah di situs web yang menjalankan versi PHP yang dibajak ini.
“Baris ini mengeksekusi kode PHP dari dalam header HTTP agen pengguna, jika string dimulai dengan ‘zerodium’,” kata pengembang PHP, Jake Birchall.
Selain itu, komit berbahaya dibuat atas nama pembuat PHP, Rasmus Lerdorf.
Tapi, itu tidak mengherankan karena dengan sistem kendali versi kode sumber seperti Git, adalah mungkin untuk menandatangani komit yang berasal dari orang lain secara lokal dan kemudian mengunggah komit yang dipalsukan ke server Git jarak jauh, di mana itu memberikan kesan sebagai jika memang telah ditandatangani oleh orang yang disebutkan di atasnya.
Meskipun penyelidikan lengkap atas insiden tersebut sedang berlangsung, menurut pengelola PHP, aktivitas berbahaya ini berasal dari server git.php.net yang disusupi, bukan akun Git individu.
Tim PHP juga merilis pernyataan rsmi seperti yang dilihat pada situs ini
Source : BleepingComputer
