نقص امنیتی در PHP PEAR و کشف در پشتی

به گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، ابزار PEAR یا PHP Extension and Application Repository اولین ابزار مدیریت بسته برای زبان برنامه‌نویسی PHP است که در دهه ۱۹۹۰ توسعه داده شده است. این ابزار به توسعه‌دهندگان امکان بارگیری و استفاده مجدد کدهای توابع مشترک از طریق کتابخانه‌های PHP را می‌دهد. در حالی که در حال حاضر اکثر توسعه‌دهندگان PHP از Composer استفاده می‌کنند، PEAR همچنان بسیار محبوب و گسترده است، زیرا به طور پیش فرض برای تمام فایل‌های اجرایی PHP لینوکس گنجانده شده است.

تیم PEAR، بر اساس پیام قرار گرفته در سایت، اعلام کرده است که آن‌ها متوجه شده‌اند که وب سایت رسمی PEAR از یک فایل pear.phar دستکاری شده میزبانی می‌کند. این فایل، فایل اجرایی اصلی PHP PEAR است. در این پیام آمده است که در صورتی که کاربران فایل go-pear.phar را در شش ماه گذشته دانلود کرده باشند، باید یک نسخه جدید را از گیت‌هاب دریافت کنند و هش‌های آن را مقایسه کنند. در صورت تفاوت هش‌ها، احتمالا فایل دریافتی آن‌ها آلوده بوده است.

براساس اسکن VirusTotal، فایل go-pear.phar دستکاری شده، توسط برخی از ضدویروس‌ها به عنوان درپشتی شناسایی شده، تمام سرورهای PHP که در آن یک بروزرسانی (PHP PEAR (go-pear.phar نصب شده است، باید به عنوان سرور آلوده در نظر گرفته شوند. تیم PHP PEAR اعلام کرده است که آن‌ها در حال کشف حفره امنیتی هستند که مهاجمین طی شش ماه گذشته از آن برای قرار دادن فایل go-pear.phar استفاده کرده‌اند.

تیم DCSO نیز این بدافزار را تجزیه و تحلیل کرده است و یافته‌های تیم PEAR را تایید می‌کند که این بدافزار یک shell معکوس بر روی میزبان‌های آلوده ایجاد می‌کند و مهاجمین را قادر می‌سازد تا به سرورهای وب، با استفاده از بسته PEAR آسیب‌دیده، متصل شوند.

تیم PHP PEAR نسخه ۱,۱۰.۱۰ را اخیرا منتشر کرده که سالم است و مدیران سرورها می‌توانند آن‌را دریافت کنند. در حال حاضر ۷۹ درصد از وب‌سایت‌های اینترنتی توسط PHP نوشته شده‌اند و به این دلیل که اکثر توسعه‌دهندگان از Composer استفاده می‌کنند، درصد کمی از سایت‌ها تحت تاثیر این حمله قرار گرفته‌اند.

انتهای پیام/