Một lỗ hổng bảo mật 15 năm tuổi đã được tiết lộ trong kho lưu trữ PEAR PHP có thể cho phép kẻ tấn công thực hiện một cuộc tấn công chuỗi cung ứng, bao gồm cả việc truy cập trái phép để xuất bản các gói giả mạo và thực thi mã tùy ý.
“Kẻ tấn công khai thác lỗi đầu tiên có thể chiếm bất kỳ tài khoản nhà phát triển nào và xuất bản các bản phát hành độc hại, trong khi lỗi thứ hai sẽ cho phép kẻ tấn công có quyền truy cập liên tục vào máy chủ PEAR trung tâm”, nhà nghiên cứu lỗ hổng của SonarSource, Thomas Chauchefoin cho biết trong một bài viết được xuất bản. tuần.
PEAR, viết tắt của PHP Extension and Application Repository, là một khuôn khổ và hệ thống phân phối cho các thành phần PHP có thể tái sử dụng.
Một trong những vấn đề, được đưa ra trong một cam kết mã được thực hiện vào tháng 3 năm 2007 khi tính năng này ban đầu được triển khai, liên quan đến việc sử dụng hàm PHP mt_rand () không an toàn về mặt mật mã trong chức năng đặt lại mật khẩu có thể cho phép kẻ tấn công “phát hiện ra mật khẩu hợp lệ đặt lại mã thông báo sau chưa đầy 50 lần thử. “
Bằng cách khai thác này, một kẻ xấu có thể nhắm mục tiêu đến các tài khoản nhà phát triển hoặc quản trị viên hiện có để chiếm đoạt chúng và xuất bản các phiên bản bị trojanized mới của các gói đã được các nhà phát triển duy trì, dẫn đến thỏa hiệp chuỗi cung ứng trên diện rộng.
Lỗ hổng thứ hai, yêu cầu đối thủ phải xâu chuỗi nó với lỗ hổng nói trên để đạt được quyền truy cập ban đầu, bắt nguồn từ việc Pearweb phụ thuộc vào phiên bản cũ hơn của Archive_Tar, dễ bị lỗi truyền tải thư mục mức độ nghiêm trọng (CVE-2020-36193, CVSS điểm: 7,5), dẫn đến việc thực thi mã tùy ý.
Chauchefoin nói: “Những lỗ hổng này đã tồn tại hơn một thập kỷ và rất khó để xác định và khai thác, đặt ra câu hỏi về việc thiếu các đóng góp bảo mật từ các công ty dựa vào nó”.
Phát hiện đánh dấu lần thứ hai các vấn đề bảo mật được phát hiện trong chuỗi cung ứng PHP trong vòng chưa đầy một năm. Vào cuối tháng 4 năm 2021, các lỗ hổng nghiêm trọng đã được tiết lộ trong trình quản lý gói Composer PHP có thể cho phép kẻ thù thực hiện các lệnh tùy ý.
Với các cuộc tấn công chuỗi cung ứng phần mềm đang nổi lên như một mối đe dọa nguy hiểm sau sự cố phần mềm phản đối nhằm vào các thư viện được sử dụng rộng rãi trong hệ sinh thái NPM, các vấn đề bảo mật gắn với sự phụ thuộc vào mã trong phần mềm đang trở lại nổi bật, khiến Tổ chức Sáng kiến Nguồn Mở gọi ” vũ khí hóa mã nguồn mở “một hành động phá hoại mạng” vượt trội hơn[s] bất kỳ lợi ích nào có thể. “
.
