Popüler programlama dili PHP’ye ait sunucularda keşfedilen bir kritik bir arka kapı zafiyeti, kullanıcı verilerini tehlikeye soktu.
Firmada gerçekleştirilen bir iç denetim sırasında, programlama dili PHP’ye yapılan güvenlik testlerinde durum tespit edildi. Mart ayında gerçekleşen siber saldırıda, yazılımın bulunduğu “Git” deposunda kullanıcıların parolalarını ihtiva eden veri tabanına erişildiği tespit edildi.
Araştırmacı Nikita Popov, 6 Nisan’da yayımladığı mesajda, “git.php.net sunucusunun ele geçirildiğine pek ihtimal vermesek de master.php.net kullanıcı veritabanının sızdırıldığı ihtimaller dahilinde.” değerlendirmesinde bulundu.
Tehdit aktörleri, 28 Mart’ta Rasmus Lerdorf ve Popov adlarını kullanarak yazılım tedarik zinciri saldırısı başlatmak için PHP kaynak kodlarına arka kapı eklediği git.php.net sunucusu üzerinde çalıştırılmak üzere “php-src” git deposuna zararlı kodlar yolladı.
Başarılı bir şekilde kimlik doğrulaması yaptılar
İlk olarak git.php.net sunucusuna olası bir saldırı konusunu ele alan araştırmacılar, yaptıkları çalışmalardan sonra siber saldırganların, HTTPS ve parola tabanlı kimlik koruma kullanarak yolladıkları zararlı yazılımlar vasıtasıyla master.php.net kullanıcı veritabanının sızdırıldığından şüphelendi.
Popov, “git.php.net, değişiklikleri yalnızca SSH (Gitolite, Git depolarında erişimi kontrol etmek için kullanılan bir ara katman ve açık anahtarlı şifreleme kullanarak) ile değil HTTPS ile de destekliyor. Saldırganlar, gitolite kullanmayan HTTPS’de master.php.net kullanıcı veritabanına karşı Apache 2 Digest kimlik doğrulamasının arkasında git-http-backend kullandı.” ifadelerini kullandı.
Ayrıca Popov, “Siber saldırganların kullanıcı adlarını birkaç tahminle bulması ve doğru kullanıcı adlarını bulduktan sonra başarılı bir şekilde kimlik doğrulama yapması dikkat çekici. Bunun için spesifik bir kanıtımız olmasa da ve saldırganların bu saldırıda neden kullanıcı adlarını tahmin ettiği belirsiz olsa da ihtimal dahilinde olan şey master.php.net kullanıcı veritabanının sızdırılmış olmasıdır.” diye konuştu
Parolalar Olaydan Sonra “Read Only” Biçiminde Kaydediliyor
Tüm bunların yanında master.php.net kimlik doğrulamasının eski bir işletim sistemine dayandığı ve siber saldırganların da muhtemelen sistem içindeki güvenlik zafiyetlerinden yararlandığı düşünülüyor.
PHP programlama dili geliştircileri master.php.net’i, TLS 1.2’nin desteklendiği yeni bir main.php.net sistemine taşıdı. Ayrıca önlem olarak var olan tüm parolaların sıfırlanmasının yanında parolalar MD5 yerine bcrypt kullanılarak depolandı.
Popov ayrıca daha önce parolaların, git.php.net ve svn.php.net üzerinde bit HTTP doğrulaması gerektiren HTTP besleme sisteminde saklandığını hatırlattı. Siber güvenlik uzmanı söz konusu saldırıdan sonra parolaların yalnızca okumaya (read only) izin verecek şekilde kayıt edildiğini sözlerine ekledi.
Bir yanıt bırakın