Git-Hosting: Angriff auf PHPs Code-Repository

Unbekannten gelang es kurzzeitig, die Kontrolle über das Git-Repository von PHP zu erlangen. Dabei wurden zwei Hintertüren in den Code eingefügt. Bisher gibt es keine Informationen darüber, wie der Angriff gelang.

Stellenmarkt

1. Technische Universität Berlin, Berlin
2. Stadt Erlangen, Erlangen

PHP-Entwickler Nikitia Popov informierte die Community über den Vorfall in einer E-Mail und kündigte darin gleich an, dass die Entwicklung von PHP künftig auf Github stattfinden wird. Man habe sich entschieden, dass "die Betreuung unserer eigenen Git-Infrastruktur ein unnötiges Sicherheitsrisiko ist", so Popov.

Selbst entwickeltes Zugriffssystem als Risiko identifiziert

Bisher nutzte PHP eine Kombination der Software Gitolite und ein selbst entwickeltes Zugriffssystem namens Karma. Laut Popov deutet alles darauf hin, dass der Git-Hosting-Server kompromittiert wurde und es sich nicht um einen Angriff auf die Accounts von Einzelpersonen handelt.

Die beiden Commits ändern den Code von PHP so, dass mittels des User-Agent-Strings PHP-Code ausgeführt werden kann. Ausgelöst wird die Hintertür durch den String "zerodium". Dabei handelt es sich um den Namen eines bekannten Exploit-Händlers. Allerdings ist es unwahrscheinlich, dass Zerodium tatsächlich für den Angriff verantwortlich ist - es dürfte sich um einen Ablenkungsversuch handeln.

Golem Akademie

1. Python kompakt - Einführung für Softwareentwickler
   19./20. April 2021, online
2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
   3.-7. Mai 2021, online

Weitere IT-Trainings

Da der Angriff schnell entdeckt wurde, hält sich das Risiko in Grenzen. Der Hintertür-Code landete in keinem Release. Betroffen sind nur Personen, die in einem kurzen Zeitfenster den Git-Code von PHP ausgecheckt und auf einem öffentlich erreichbaren Server installiert haben.