{"id":26473,"date":"2021-04-05T15:30:56","date_gmt":"2021-04-05T13:30:56","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26473"},"modified":"2021-04-05T15:30:56","modified_gmt":"2021-04-05T13:30:56","slug":"php-git-backdor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/php-git-backdor\/26473\/","title":{"rendered":"Gescheiterter Versuch den Quellcode der Programmiersprache PHP zu kompromittieren"},"content":{"rendered":"

Unbekannte Cyberverbrecher versuchten<\/a> vor Kurzem einen Supply-Chain-Gro\u00dfangriff auszuf\u00fchren, indem sie Schadcode in das offizielle Git-Repository der Skriptsprache PHP einschleusten. H\u00e4tten die Entwickler die Backdoor nicht rechtzeitig entdeckt, w\u00e4re es den Verbrechern gelungen den Schadcode heimlich auf zahlreichen Webservern zu installieren und das Cyberverbrechen w\u00e4re als gr\u00f6\u00dfter Supply-Chain-Angriff<\/a> in die Geschichte eingegangen.<\/p>\n

Was beim PHP-Projekt passiert ist<\/h2>\n

Die Programmierer, die die Skriptsprache PHP entwickelt haben, verwenden das Versionskontrollsystem Git, um Ver\u00e4nderungen am Code vorzunehmen. Nach der Implementierung der \u00c4nderungen, bzw. Commits wird der Code erneut \u00fcberpr\u00fcft. Bei einer Routinekontrolle entdeckte einer der Entwickler einen verd\u00e4chtigen Commit, der vorgab einen Tippfehler im Quellcode zu beheben. Der Commit wurde unter dem Namen Nikita Popov hochgeladen, der zu den aktiven PHP-Entwicklern geh\u00f6rt. Nach genauerer Untersuchung stellte sich heraus, dass es sich um eine Backdoor handelte. Popov war also nicht der Absender dieses Commits.<\/p>\n

Nach weiteren \u00dcberpr\u00fcfungen wurde noch ein Commit gefunden, den angeblich Rasmus Lerdorf in das Repository hochgeladen hatte. Die wachsamen Programmierer stellten dies innerhalb von wenigen Stunden fest und so wurde gew\u00e4hrleistet, dass das Update auf Version 8.1 (das voraussichtlich gegen Ende dieses Jahres ver\u00f6ffentlicht wird) keine Backdoor enth\u00e4lt.<\/p>\n

Das Gef\u00e4hrliche an der Code-\u00c4nderung<\/h2>\n

Eine Backdoor im Repository erm\u00f6glicht es den Angreifern remote Schadcode auf Webservern einzuschleusen, die die kompromittierte Version von PHP nutzen. Auch wenn PHP etwas an Popularit\u00e4t eingeb\u00fc\u00dft hat, ist sie immer noch die weitverbreitetste Skriptsprache f\u00fcr Webseiteninhalte und wird aktuell von ca. 80 % aller Webserver verwendet. Auch wenn nicht alle Administratoren ihre Tools umgehend aktualisieren, gibt es doch viele, die darauf achten, dass die Server immer auf dem neusten Stand sind, um interne und externe Sicherheitsbestimmungen einzuhalten. H\u00e4tten die Verbrecher es geschafft, die Backdoor erfolgreich unentdeckt in die neue PHP-Version einzuschleusen, h\u00e4tte das zur Kompromittierung einer gro\u00dfen Anzahl von Unternehmens-Webservern gef\u00fchrt.<\/p>\n

So wurde die Backdoor von den Angreifern eingeschleust<\/h2>\n

Experten sind sich sicher, dass der Angriff auf eine Schwachstelle im internen Git-Server zur\u00fcckzuf\u00fchren ist und nichts mit kompromittierten Konten der Entwickler zu tun hat. Tats\u00e4chlich ist das Risiko, dass ein Commit jemandem anderen zugeschrieben wird, seit Langem bekannt. Seit diesem Vorfall wird der Server git.php.net nicht mehr vom PHP-Support-Team verwendet und das gesamte Projekt wird zuk\u00fcnftig direkt auf GitHub<\/a> gehostet (bisher wurden die Git-Repositorys nur gespiegelt).<\/p>\n

So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n

Entwicklungsumgebungen<\/a> sind attraktive Angriffsziele f\u00fcr Cyberkriminelle. Wenn die Verbrecher es schaffen, den Code von einem Software-Produkt zu kompromittieren, das gro\u00dfes Vertrauen bei den Benutzern genie\u00dft, k\u00f6nnen zahlreiche weitere Ziele \u00fcber einen Supply-Chain-Angriff mit dem Schadcode infiziert werden. Weitverbreitete Software wird rund um den Globus von Millionen von Benutzern verwendet, daher ist es sehr wichtig diese Menschen vor solchen Angriffen zu sch\u00fctzen.<\/p>\n