Os pesquisadores de segurança da SonarSource descobriram essa falha. Afeta essencialmente o Composer, que é uma das principais ferramentas utilizadas para gerenciar e instalar dependências para PHP.
Na verdade, o próprio Composer usa o Packagist, um serviço online para gerenciar solicitações de pacotes PHP, que é exatamente onde a própria falha está presente.
O SonarSource conseguiu até descobrir uma vulnerabilidade que permitia que os invasores executassem comandos arbitrários do sistema no servidor Packagist. Isso poderia ser usado para potencialmente obter credenciais de mantenedor ou até mesmo redirecionar as solicitações de pacote.
Thomas Chauchefoin, que é um pesquisador de vulnerabilidades da SonarSource, disse o seguinte sobre o assunto:
Um invasor alterando a URL associada ao pacote symfony / symfony por um sob seu controle enganaria o Composer para fazer o download do código-fonte errado e, com isso, implantar o do invasor backdoor no servidor que executa o Composer. Sua capacidade de exploração depende muito do comando que está sendo chamado. Isso é muito fácil de ignorar, pois os dados controlados pelo usuário geralmente já estão corretamente higienizados contra outras vulnerabilidades de injeção.
A falha foi descoberta ao pesquisar ataques à cadeia de suprimentos de software e investigar muitos dos componentes do ecossistema de pacotes PHP .
A SonarSource ainda acredita que essa falha não foi detectada ao longo de 10 anos , embora uma vulnerabilidade tenha sido encontrada no mesmo código por um pesquisador conhecido como Max Justicz no ano de 2018.
A popularidade do PHP, bem como o número de projetos PHP que usam o Composer, aumentam o risco. Lembre-se, o PHP realmente roda em 80% de todos os sites do mundo, e dois terços deles, de acordo com a SonarSource, usam o Composer para gerenciar suas dependências.
Chauchefoin disse que a infraestrutura pública do Packagist facilita os downloads, mas não hospeda diretamente o código-fonte. Estima-se que a infraestrutura pública do Packagist atenda a cerca de 100 milhões de solicitações de metadados por mês. Eles podem ter sido ocultados com a vulnerabilidade que relatamos.
Jed Kafetz, que é o chefe dos testes de penetração da Redscan, disse o seguinte:
Se um invasor puder fazer backdoor de um pacote de programa de software típico, cada utilitário adicional que tentar utilizar o dispositivo ou programa de software poderá ser afetado. Um invasor pode então aproveitar essa entrada para vazar o conhecimento que inflige uma violação em grande escala ou comprometer a comunidade subjacente ou, alternativamente, usá-lo como base para ataques adicionais. Fornecer comprometimento da cadeia é um caminho extremamente vantajoso para um invasor. Vai além dos domínios de um ataque focalizado e pode fazer com que uma grande variedade de técnicas que antes eram seguras, de repente se tornem suscetíveis.
Tenha em mente que a falha não foi corrigida, e os pesquisadores disseram que os riscos apresentados a sites que usam PHP agora são limitados. Os desenvolvedores da Web ainda devem permanecer vigilantes, no entanto.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
