Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for PHP

PHP

Peneliti membajak paket PHP Packagist populer untuk mendapatkan pekerjaan

by

Seorang peneliti membajak lebih dari selusin paket Packagist — dengan beberapa telah diinstal ratusan juta kali selama masa pakainya.

Peneliti menjangkau BleepingComputer yang menyatakan bahwa dengan membajak paket-paket ini dia berharap mendapatkan pekerjaan. Dan, dia tampaknya cukup yakin bahwa ini akan berhasil.

seorang peneliti dengan nama samaran ‘neskafe3v1’ menghubungi BleepingComputer menyatakan bahwa dia telah mengambil lebih dari empat belas paket Packagist, dengan salah satunya memiliki lebih dari 500 juta pemasangan.

Packagist adalah registry utama paket PHP yang dapat diinstal melalui Composer, alat manajemen ketergantungan. Daripada menghosting paket-paket ini, Packagist lebih berfungsi sebagai direktori metadata yang mengumpulkan paket-paket open source yang dipublikasikan ke GitHub. Paket-paket ini kemudian dapat diinstal oleh pengembang di mesin mereka dengan menjalankan perintah instal komposer.

Proses penerbitan di Packagist sedikit berbeda dengan yang ada di repo open source seperti npm atau PyPI. Seorang pengembang, sebagai lawan mengunggah binari atau rilis perangkat lunak langsung ke Packagist.org, cukup membuat akun Packagist.org, dan “mengirimkan” tautan ke repo GitHub mereka untuk paket tertentu. Perayap Packagist kemudian mengunjungi repo yang disediakan dan mengumpulkan semua data untuk ditampilkan di halaman Packagist untuk paket itu.

Ketika pengembang menjalankan Komposer dengan perintah ‘instal’ atau ‘perbarui’, instance Komposer mereka mungkin pertama-tama mencari keberadaan paket secara lokal, jika gagal, secara default akan mencari di Packagist untuk paket ini dan mengambil URL GitHub yang terdaftar untuk paket itu . Isi paket kemudian diunduh dari repo GitHub ini yang terdaftar di halaman Paket Paket.

Ini sangat kontras dengan cara kerja npm atau PyPI—yaitu, pendaftar ini menghosting dan mendistribusikan rilis perangkat lunak langsung dari server mereka.

selengkapnya : bleepingcomputer.com

Kelemahan PHP Everywhere RCE mengancam ribuan situs WordPress

by

Para peneliti menemukan tiga kerentanan eksekusi kode jarak jauh (RCE) kritis di plugin ‘PHP Everywhere’ untuk WordPress, yang digunakan oleh lebih dari 30.000 situs web di seluruh dunia.

PHP Everywhere adalah plugin yang memungkinkan admin WordPress untuk memasukkan kode PHP di halaman, posting, bilah sisi, atau blok Gutenberg apa pun, dan menggunakannya untuk menampilkan konten dinamis berdasarkan ekspresi PHP yang dievaluasi.

Tiga kerentanan ditemukan oleh analis keamanan di Wordfence dan dapat dieksploitasi oleh kontributor atau pelanggan, memengaruhi semua versi WordPress dari 2.0.3 dan di bawahnya.

Berikut adalah deskripsi singkat tentang kekurangannya:

  • CVE-2022-24663 – Cacat eksekusi kode jarak jauh yang dapat dieksploitasi oleh pelanggan mana pun dengan mengizinkan mereka mengirim permintaan dengan parameter ‘kode pendek’ yang disetel ke PHP Everywhere, dan mengeksekusi kode PHP sewenang-wenang di situs. (Skor CVSS v3: 9,9)
  • CVE-2022-24664 – Kerentanan RCE yang dapat dieksploitasi oleh kontributor melalui metabox plugin. Penyerang akan membuat postingan, menambahkan metabox kode PHP, dan kemudian mempratinjaunya. (Skor CVSS v3: 9,9)
  • CVE-2022-24665 – Cacat RCE dapat dieksploitasi oleh kontributor yang memiliki kemampuan ‘edit_posts’ dan dapat menambahkan blok PHP Everywhere Gutenberg. Pengaturan keamanan default pada versi plugin yang rentan tidak pada ‘hanya admin’ sebagaimana mestinya. (Skor CVSS v3: 9,9)

Sementara dua kelemahan terakhir tidak mudah dieksploitasi karena memerlukan izin tingkat kontributor, kerentanan pertama jauh lebih terbuka untuk eksploitasi yang lebih luas karena dapat dieksploitasi hanya dengan menjadi pelanggan di situs.

Dalam semua kasus, mengeksekusi kode arbitrer di situs dapat menyebabkan pengambilalihan situs secara lengkap, yang merupakan skenario terburuk dalam keamanan situs web.

Vendor merilis pembaruan keamanan pada 10 Januari 2022, dengan versi 3.0.0, yang mengalami peningkatan nomor versi utama karena memerlukan penulisan ulang kode yang substansial.

Sementara pengembang memperbaiki pembaruan bulan lalu, tidak jarang admin tidak memperbarui situs dan plugin WordPress mereka secara teratur. Menurut statistik unduhan di WordPress.org, hanya 15.000 pemasangan dari 30.000 yang telah memperbarui plugin sejak bug diperbaiki.

Oleh karena itu, karena parahnya kerentanan ini, semua pengguna PHP Everywhere sangat disarankan untuk memastikan bahwa mereka telah mengupgrade ke PHP Everywhere versi 3.0.0 yang merupakan versi terbaru yang tersedia saat ini.

Sumber : Bleeping Computer

Server Git PHP diretas untuk menambahkan backdoor ke kode sumber PHP

by

Dalam serangan rantai pasokan perangkat lunak terbaru, repositori resmi PHP Git diretas dan basis kode dirusak. Kemarin, dua komit berbahaya didorong ke repositori php-src Git yang dikelola oleh tim PHP di server git.php.net mereka. Aktor ancaman telah menandatangani komitmen ini seolah-olah ini dibuat oleh pengembang dan pengelola PHP terkenal, Rasmus Lerdorf dan Nikita Popov.

Backdoor RCE ditanam di server PHP Git
Dalam upaya untuk mengkompromikan basis kode PHP, dua komit berbahaya didorong ke repositori resmi PHP Git kemarin.

Insiden ini mengkhawatirkan mengingat PHP tetap menjadi bahasa pemrograman sisi server yang menguasai 79% situs web di Internet.

Penyerang mengupload perubahan misterius”perbaiki kesalahan ketik” dengan dalih koreksi tipografi kecil.

Namun, perhatikan baris 370 yang ditambahkan di mana fungsi zend_eval_string dipanggil, kode sebenarnya menanamkan backdoor untuk mendapatkan Remote Code Execution (RCE) yang mudah di situs web yang menjalankan versi PHP yang dibajak ini.

“Baris ini mengeksekusi kode PHP dari dalam header HTTP agen pengguna, jika string dimulai dengan ‘zerodium’,” kata pengembang PHP, Jake Birchall.

Selain itu, komit berbahaya dibuat atas nama pembuat PHP, Rasmus Lerdorf.

Tapi, itu tidak mengherankan karena dengan sistem kendali versi kode sumber seperti Git, adalah mungkin untuk menandatangani komit yang berasal dari orang lain secara lokal dan kemudian mengunggah komit yang dipalsukan ke server Git jarak jauh, di mana itu memberikan kesan sebagai jika memang telah ditandatangani oleh orang yang disebutkan di atasnya.

Meskipun penyelidikan lengkap atas insiden tersebut sedang berlangsung, menurut pengelola PHP, aktivitas berbahaya ini berasal dari server git.php.net yang disusupi, bukan akun Git individu.

Tim PHP juga merilis pernyataan rsmi seperti yang dilihat pada situs ini

Source : BleepingComputer

Sebagian besar bug keamanan di alam liar sudah ada bertahun-tahun

by

Kebanyakan kerentanan yang dieksploitasi di alam liar sudah ada bertahun-tahun dan beberapa dapat diperbaiki dengan mudah dengan tambalan yang tersedia.

Ini adalah salah satu temuan laporan baru dari firma keamanan Edgescan, yang menyatakan bahwa dua pertiga (65%) CVE yang ditemukan pada tahun 2020 berusia lebih dari tiga tahun, sedangkan sepertiga dari mereka (32%) awalnya teridentifikasi pada tahun 2015 atau sebelumnya.

Kerentanan tertua yang beredar tahun lalu adalah CVE-1999-0517, yang pertama kali diidentifikasi pada pergantian milenium.

Kerentanan paling umum terkait malware, laporan lebih lanjut menyatakan, berusia antara satu dan tiga tahun, banyak di antaranya dapat diperbaiki dengan tambalan yang sudah tersedia. Terlepas dari kenyataan ini, organisasi membutuhkan rata-rata 84 hari untuk menambal kerentanan berisiko tinggi.

Menurut laporan tersebut, PHP “sejauh ini” adalah framework yang paling tidak aman, terhitung hampir seperempat (22,7%) dari semua risiko kritis yang ditemukan tahun lalu. Lebih lanjut, lebih dari sepersepuluh (13,4%) dari semua risiko kritis terkait dengan sistem yang tidak didukung, tidak ditambal, atau usang.

Sumber: IT Pro Portal