{"id":24293,"date":"2021-04-05T13:51:24","date_gmt":"2021-04-05T11:51:24","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=24293"},"modified":"2021-04-05T15:56:23","modified_gmt":"2021-04-05T13:56:23","slug":"php-git-backdor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/php-git-backdor\/24293\/","title":{"rendered":"Tentativo di compromissione del codice sorgente del linguaggio PHP"},"content":{"rendered":"

Di recente, alcuni cybercriminali sconosciuti hanno provato<\/a> a eseguire un attacco alla supply-chain su larga scala, introducendo un codice dannoso nel repository GIT ufficiale di PHP. Se gli sviluppatori non avessero notato la backdoor in tempo, sarebbe potuta finire su molti server web e portare al pi\u00f9 grande attacco alla supply-chain<\/a> della storia.<\/p>\n

PHP: cosa \u00e8 successo?<\/h2>\n

I programmatori che sviluppano il linguaggio PHP apportano modifiche al codice utilizzando un repository comune costruito sul sistema di controllo di versione GIT. Dopo aver implementato le loro integrazioni, il codice viene sottoposto a un\u2019ulteriore revisione. Durante un controllo di routine, uno sviluppatore ha notato un\u2019aggiunta sospetta che nei commenti (attribuiti a Nikita Popov, sviluppatore PHP attivo) veniva indicata come una correzione di un refuso. Un esame pi\u00f9 approfondito ha rivelato che si trattava di una backdoor e Popov non era l\u2019autore di tale modifica.<\/p>\n

Ulteriori verifiche hanno mostrato che un\u2019altra integrazione simile era stata caricata nel repository, questa volta attribuita a Rasmus Lerdorf. I programmatori se ne sono accorti in poche ore e, grazie alla loro attenzione, il prossimo aggiornamento di PHP 8.1 (la cui release \u00e8 prevista entro la fine dell\u2019anno) non includer\u00e0 la backdoor.<\/p>\n

Perch\u00e9 si trattava di una modifica pericolosa del codice?<\/h2>\n

Una backdoor nel repository potrebbe consentire ai criminali informatici di eseguire da remoto un codice dannoso su un server Web, utilizzando la versione compromessa di PHP. Nonostante una certa perdita di popolarit\u00e0, PHP rimane il linguaggio di scripting pi\u00f9 utilizzato per i contenuti web, impiegato da circa l\u201980% dei server web. Anche se non tutti gli amministratori aggiornano prontamente i propri tool, in molti si preoccupano di aggiornare i propri server per rispettare le norme di sicurezza interne o esterne. Se la backdoor fosse entrata nella nuova versione di PHP, molto probabilmente si sarebbe diffusa sui server web di numerose aziende.<\/p>\n

Come hanno fatto i cybercriminali a introdurre la backdoor?<\/h2>\n

Gli esperti sono certi che l\u2019attacco sia dovuto a una vulnerabilit\u00e0 nel server Git interno e non si tratterebbe di un problema di account compromessi appartenenti agli sviluppatori. In realt\u00e0, il rischio che qualcuno attribuisca una modifica a un altro utente \u00e8 noto da molto tempo, e dopo questo incidente, il team di assistenza di PHP ha smesso di usare il server git.php.net e si \u00e8 trasferito sul repository del servizio GitHub<\/a> (che prima era solo un mirror).<\/p>\n

Come difendersi?<\/h2>\n

Gli ambienti di sviluppo<\/a> sono obiettivi attraenti per i cybercriminali. Se riescono a compromettere il codice di un software di cui i clienti si fidano, possono raggiungere pi\u00f9 obiettivi in una volta sola, attraverso un attacco alla supply chain. Milioni di utenti in tutto il mondo usano i progetti pi\u00f9 popolari, quindi proteggerli da attacchi esterni \u00e8 particolarmente importante.<\/p>\n