Popüler programlama dili PHP’ye ait sunucularda keşfedilen kritik bir arka kapı zafiyeti kullanıcı verilerini tehlikeye soktu. Firmada yapılan bir iç denetim sırasında yapılan güvenlik testlerinde geçen ay gerçekleşen siber saldırıda yazılımın bulunduğu Git deposunda kullanıcıların parolarını ihtiva eden veri tabanına erişildiği tespit edildi.
Araştırmacı Nikita Popov, 6 Nisan’da yayımladığı mesajda, “git.php.net sunucusunun ele geçirildiğine pek ihtimal vermesek de master.php.net kullanıcı veritabanının sızdırıldığı ihtimaller dahilinde.” değerlendirmesinde bulundu.
Tehdit aktörleri, 28 Mart’ta Rasmus Lerdorf ve Popov adlarını kullanarak yazılım tedarik zinciri saldırısı başlatmak için PHP kaynak kodlarına arka kapı eklediği git.php.net sunucusu üzerinde çalıştırılmak üzere “php-src” git deposuna zararlı kodlar yolladı.
ÖNCE ZARARLI YAZILIMDAN KUŞKULANDILAR
İlk olarak git.php.net sunucusuna olası bir saldırı konusunu ele alan araştırmacılar, yaptıkları çalışmalardan sonra siber saldırganların, HTTPS ve parola tabanlı kimlik koruma kullanarak yolladıkları zararlı yazılımlar vasıtasıyla master.php.net kullanıcı veritabanının sızdırıldığından şüphelendi.
Popov, “git.php.net, değişiklikleri yalnızca SSH (Gitolite, Git depolarında erişimi kontrol etmek için kullanılan bir ara katman ve açık anahtarlı şifreleme kullanarak) ile değil HTTPS ile de destekliyor. Saldırganlar, gitolite kullanmayan HTTPS’de master.php.net kullanıcı veritabanına karşı Apache 2 Digest kimlik doğrulamasının arkasında git-http-backend kullandı.” ifadelerini kullandı.
FBI, APT tehdidine karşı uyardı: Fortinet VPN zafiyetleri istismar ediliyor
Ayrıca Popov, “Siber saldırganların kullanıcı adlarını birkaç tahminle bulması ve doğru kulllanıcı adlarını bulduktan sonra başarılı bir şekilde kimlik doğrulama yapması dikkat çekici. Bunun için spesifik bir kanıtımız olmasa da ve saldırganların bu saldırıda neden kullanıcı adlarını tahmin ettiği belirsiz olsa da ihtimal dahilinde olan şey master.php.net kullanıcı veritabanının sızdırılmış olmasıdır.” diye konuştu
Parolalar Olaydan Sonra “Read Only” Biçiminde Kaydediliyor
Tüm bunların yanında master.php.net kimlik doğrulamasının eski bir işletim sistemine dayandığı ve siber saldırganların da muhtemelen sistem içindeki güvenlik zafiyetlerinden yararlandığı düşünülüyor.
PHP programlama dili geliştircileri master.php.net’i, TLS 1.2’nin desteklendiği yeni bir main.php.net sistemine taşıdı. Ayrıca önlem olarak var olan tüm parolaların sıfırlanmasının yanında parolalar MD5 yerine bcrypt kullanılarak depolandı.
Popov ayrıca daha önce parolaların, git.php.net ve svn.php.net üzerinde bit HTTP doğrulaması gerektiren HTTP besleme sisteminde saklandığını hatırlattı. Siber güvenlik uzmanı söz konusu saldırıdan sonra parolaların yalnızca okumaya (read only) izin verecek şekilde kayıt edildiğini sözlerine ekledi.
