Programacion Linux

Comprometen el sitio oficial de PHP para alojar malware

El viernes leyendo los boletines de seguridad de Hispasec encontré con esta noticia relacionada con el comprometimiento del sitio oficial de PHP.

Aunque ya se han tomado medidas al respecto, es valido alertar a quienes hacen visiten frecuentemente este sitio o hagan uso de scripts y herramientas ofrecidas desde este sitio. Mas abajo dejo fragmentos de lo informado por Hispasec:

Aunque en un primer momento, incluso el propio Rasmus Lerdorf (@rasmus),creador de PHP, pensó que se trataba de un falso positivo, el primeraviso lo dio el motor de bloqueo de Google Chrome, Safe Browsing. En el
se podía leer que el motivo del bloqueo era la detección de malwarealojado en el sitio web principal de PHP. Exactamente el script
http://static.php.net/www.php.net/userprefs.js

Dicho script contenía código ofuscado que generaba un iframe oculto el cual cargaba otro script adicional, de un tercer dominio, para finalmente acabar siendo víctima del exploit kit Magnitude. Un esquema habitual usado por los atacantes para atraer gran cantidad de objetivos (un sitio popular) y alargar en lo posible la infección (código ofuscado, iframe oculto y múltiples dominios maliciosos). Existe un excelente análisis del proceso de infección realizado por Jaime Blasco de Alienvault.

Mas adelante se muestra las fechas de cuando se cree probable la exposicion al ataque y son estas las fechas a tener en cuenta si alguien a accedido a los recursos de esta web.

Aunque todavía se encuentran trabajando en la investigación para llegar a conclusiones, los administradores han situado la ventana de exposición entre el día 22 y 24 de octubre. Durante esos días haber visitado los sitios web de php.net que incluyesen un enlace al script userpref.js significa que se ha estado expuesto a la infección.

En principio han sido comprometidos dos servidores. El principal alojaba los sitios www.php.net, static.php.net y git.php.net. Este último
dominio es el que lleva al repositorio de código de todo el proyecto PHP, no solo la vista web del repositorio, sino el servidor GIT (puerto tcp/9418). Aunque según informan han comprobado que el repositorio de código no se ha «tocado» como precaución se ha bloqueado en modo lectura y migrado a otro servidor. El otro servidor se correspondería con el dominio bugs.php.net y aloja el sitio web de reporte de errores.

Como medida de precaución los certificados han sido revocados, ya que podrían haber sido extraídos por los atacantes. Es decir, llegaron a tener los privilegios necesarios para leer dichos archivos. De momento los servicios SSL no van a funcionar hasta que sean emitidos nuevos certificados. Un ejemplo perfecto para justificar el mecanismo de revocación de certificados.

Por el momento no han habido mas noticias y se continua la investigación al respecto. Personalmente les recomiendo a todos los que andamos en este mundo de las tecnologías hacer uso de canales de información como lo es Hispasec. 

Si desea acceder a la noticia original, visite este link Comprometen el sitio oficial de PHP

 

¿Te resultó interesante? Compártelo ...



elMor3no

Publicado por elMor3no

http://gutl.jovenclub.cu » Forma parte de GUTL desde el 6 diciembre, 2011. Usuario de GNU/Linux desde hace varios años. Coordinador Nacional de GUTL.

Este artículo tiene 5 comentarios

      • Caramba tio! Ahora que lo preguntas, pues ni idea. Aparte de trollear un poquito y de vez en vez escribir mis artículos, no creo que tenga más responsabilidades. Por ejemplo, no soy revisor(ni deseo serlo, ya que me apodarían Torquemada o Corleone). A que se debe su pregunta?

Los comentarios están cerrados.