PHP 站点的用户数据库在最近的源代码后门中遭到攻击

PHP 编程语言的维护人员发布了关于上月底曝光的安全事件的更新,指出攻击者可能已经掌握了包含其密码的用户数据库,以便对存储库进行未经授权的更改。

“我们不再相信 git.php.net 服务器已被入侵。但是,master.php.net 用户数据库有可能泄露,”Nikita Popov在 4 月 6 日发布在其邮件列表上的消息中说。

3 月 28 日,身份不明的攻击者使用 Rasmus Lerdorf 和 Popov 的名字将恶意提交推送到托管在 git.php.net 服务器上的“php-src”存储库,其中涉及在一个实例中向 PHP 源代码添加后门。软件供应链攻击。

PHP 站点的用户数据库在最近的源代码后门中遭到攻击

虽然这最初被视为 git.php.net 服务器的妥协,但对该事件的进一步调查显示,提交是使用 HTTPS 和基于密码的身份验证推送它们的结果,导致他们怀疑可能存在泄露master.php.net 用户数据库。

“git.php.net(有意)支持 [s] 不仅通过 SSH(使用 Gitolite 基础设施和公钥加密)推送更改,而且还通过 HTTPS,”Popov 说。“后者没有使用 Gitolite,而是在针对 master.php.net 用户数据库的Apache 2 Digest身份验证后面使用了 git-http-backend 。”

“值得注意的是,攻击者只对用户名进行了一些猜测,一旦找到正确的用户名,就成功进行了身份验证。虽然我们没有任何具体证据,但可能的解释是 master.php 的用户数据库.net 已被泄露,但不清楚为什么攻击者在这种情况下需要猜测用户名。”

此外,据说 master.php.net 身份验证系统使用的是非常旧的操作系统和 PHP 版本,这增加了攻击者也可能利用软件中的漏洞进行攻击的可能性。

因此,维护人员已将 master.php.net 迁移到支持 TLS 1.2 的新 main.php.net 系统,此外还使用bcrypt而不是普通的 MD5 哈希重置所有现有密码和存储密码。