{"id":21555,"date":"2021-04-05T13:16:30","date_gmt":"2021-04-05T19:16:30","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=21555"},"modified":"2021-04-05T13:16:30","modified_gmt":"2021-04-05T19:16:30","slug":"php-git-backdor","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/php-git-backdor\/21555\/","title":{"rendered":"Se intent\u00f3 comprometer el c\u00f3digo fuente del lenguaje de programaci\u00f3n PHP"},"content":{"rendered":"

Atacantes desconocidos intentaron<\/a> recientemente realizar un ataque a la cadena de suministro a gran escala al introducir c\u00f3digo malicioso en el repositorio oficial GIT de PHP. Si los desarrolladores no hubieran notado la puerta trasera a tiempo, este c\u00f3digo podr\u00eda haber terminado en muchos servidores web y dado lugar al ataque a la cadena de suministro<\/a> m\u00e1s grande de la historia.<\/p>\n

Qu\u00e9 pas\u00f3 con PHP<\/h2>\n

Los programadores que desarrollaron el lenguaje de programaci\u00f3n PHP hicieron cambios al c\u00f3digo utilizando un repositorio com\u00fan integrado en el sistema de control de la versi\u00f3n de GIT. Despu\u00e9s de que implementaron sus adiciones, el c\u00f3digo pasa por otra revisi\u00f3n. Durante una revisi\u00f3n de rutina, un desarrollador not\u00f3 una adici\u00f3n sospechosa que estaba marcada en los comentarios como una correcci\u00f3n tipogr\u00e1fica y a\u00f1adida a nombre de Nikita Popov, un desarrollador activo de PHP. Un an\u00e1lisis m\u00e1s detallado revel\u00f3 que era una puerta trasera. Popov no era el autor de dicho cambio.<\/p>\n

Verificaciones adicionales mostraron que se hab\u00edan cargado en el repositorio otra adici\u00f3n similar, en esta ocasi\u00f3n atribuida a Rasmus Lerdorf. En cuesti\u00f3n de horas, los programadores atentos la detectaron, de manera que la pr\u00f3xima actualizaci\u00f3n de PHP 8.1 (cuya liberaci\u00f3n anticipada est\u00e1 planeada para finales del a\u00f1o) no incluir\u00e1 la puerta trasera.<\/p>\n

Por qu\u00e9 el c\u00f3digo malicioso fue peligroso<\/h2>\n

Una puerta trasera en el repositorio podr\u00eda permitir a los atacantes ejecutar c\u00f3digo malicioso en un servidor web utilizando la versi\u00f3n comprometida de PHP. A pesar de que ha perdido popularidad, PHP sigue siendo el lenguaje de scrip m\u00e1s usado para contenido web; y es usado en alrededor de 80% de los servidores web. Si bien, no todos los administradores actualizan sus herramientas oportunamente, una buena cantidad mantienen sus servidores al d\u00eda para cumplir con las regulaciones de seguridad externa. Si la puerta trasera hubiera llegado a la nueva versi\u00f3n de PHP, lo m\u00e1s probable es que se hubiera esparcido a los servidores web de muchas empresas.<\/p>\n

C\u00f3mo los atacantes introdujeron la puerta trasera<\/h2>\n

Los expertos tienen la certeza de que el ataque fue resultado de una vulnerabilidad en el servidor interno GIT, y no se trat\u00f3 de cuentas de desarrollador comprometidas. De hecho, el riesgo de que alguien le atribuya un cambio a otro usuario ya es muy conocido desde hace tiempo; y, despu\u00e9s de este incidente, el equipo de soporte de PHP dej\u00f3 de utilizar el servidor git.php.net y movi\u00f3 el repositorio de servicio GitHub<\/a> (que antes solo era un espejo).<\/p>\n

C\u00f3mo mantenerte seguro<\/h2>\n

Los ambientes de desarrollo<\/a> son objetivos atractivos para los cibercriminales. Una vez que han comprometido el c\u00f3digo de un producto de software en el que los clientes conf\u00edan, puede llegar a muchos objetivos a la vez mediante un ataque a la cadena de suministro. Millones de usuarios en todo el mundo utilizan los proyectos m\u00e1s populares, de manera protegerlos de maquinaciones externas es particularmente importante.<\/p>\n