{"id":25006,"date":"2021-04-07T18:12:35","date_gmt":"2021-04-07T16:12:35","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25006"},"modified":"2021-04-07T18:12:35","modified_gmt":"2021-04-07T16:12:35","slug":"php-git-backdor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/php-git-backdor\/25006\/","title":{"rendered":"Intentan comprometer el c\u00f3digo fuente del lenguaje PHP"},"content":{"rendered":"

Un grupo de atacantes desconocidos ha intentado<\/a> realizar un ataque a la cadena de suministro a gran escala al introducir c\u00f3digo malicioso en el repositorio oficial GIT de PHP. Si los desarrolladores no hubieran percibido la puerta trasera a tiempo, este c\u00f3digo podr\u00eda haber terminado en muchos servidores web y dado lugar al ataque a la cadena de suministro<\/a> m\u00e1s grande de la historia.<\/p>\n

Qu\u00e9 ha pasado con PHP<\/h2>\n

Los programadores que desarrollaron el lenguaje de programaci\u00f3n PHP realizan los cambios en el c\u00f3digo utilizando un repositorio com\u00fan integrado en el sistema de control de la versi\u00f3n de GIT. Tras la implementaci\u00f3n de los cambios, el c\u00f3digo pasa por otra revisi\u00f3n. Durante una revisi\u00f3n de rutina, un desarrollador percibi\u00f3 un complemento sospechoso que estaba marcado en los comentarios como una correcci\u00f3n tipogr\u00e1fica y a\u00f1adido a nombre de Nikita Popov, un desarrollador en activo de PHP. Un an\u00e1lisis m\u00e1s detallado revel\u00f3 que se trataba de una puerta trasera. Sobra decir que Popov no fue el autor de dicho cambio.<\/p>\n

Las siguientes comprobaciones mostraron que se hab\u00eda cargado en el repositorio otro complemento similar, en esta ocasi\u00f3n atribuido a Rasmus Lerdorf. En cuesti\u00f3n de horas, los atentos programadores la detectaron, de forma que la pr\u00f3xima actualizaci\u00f3n de PHP 8.1 (cuyo lanzamiento anticipado est\u00e1 planeado para finales del a\u00f1o) no incluir\u00e1 la puerta trasera.<\/p>\n

Por qu\u00e9 el c\u00f3digo malicioso era peligroso<\/h2>\n

Una puerta trasera en el repositorio podr\u00eda permitir a los atacantes ejecutar c\u00f3digo malicioso en un servidor web utilizando la versi\u00f3n comprometida de PHP. A pesar de que ha perdido popularidad, PHP sigue siendo el lenguaje de script<\/em> m\u00e1s usado para contenido web; de hecho, lo usan alrededor del 80 % de los servidores web. Y, aunque no todos los administradores actualizan sus herramientas de forma oportuna, muchos otros s\u00ed mantienen sus servidores al d\u00eda para cumplir con las regulaciones de seguridad externa. Si la puerta trasera hubiera llegado a la nueva versi\u00f3n de PHP, lo m\u00e1s probable es que se hubiera esparcido a los servidores web de muchas empresas.<\/p>\n

C\u00f3mo introdujeron los atacantes la puerta trasera<\/h2>\n

Los expertos tienen la certeza de que el ataque fue resultado de una vulnerabilidad en el servidor interno de GIT, y no del compromiso de las cuentas de los desarrolladores. De hecho, el riesgo de que alguien le atribuya un cambio a otro usuario ya es muy conocido y, despu\u00e9s de este incidente, el equipo de soporte de PHP dej\u00f3 de utilizar el servidor git.php.net y movi\u00f3 el repositorio de servicio GitHub<\/a> (que antes solo era un espejo).<\/p>\n

C\u00f3mo mantenerte a salvo<\/h2>\n

Los ambientes de desarrollo<\/a> son objetivos atractivos para los ciberdelincuentes. Una vez que han comprometido el c\u00f3digo de un producto de software<\/em> en el que los clientes conf\u00edan, pueden llegar a muchos objetivos a la vez mediante un ataque a la cadena de suministro. Millones de usuarios en todo el mundo utilizan los proyectos m\u00e1s populares, por lo que protegerlos de maquinaciones externas es particularmente importante.<\/p>\n