فعال شدن حملات زنجیره تأمین توسط باگ 15 ساله در مخزن PEAR PHP - مرکز پژوهشی آپا

PHP

یک آسیب‌پذیری امنیتی ۱۵ ساله در مخزن PEAR PHP فاش شده است که می‌تواند به مهاجم اجازه انجام یک حمله زنجیره تأمین، ازجمله دسترسی غیرمجاز برای انتشار بسته‌های سرکش و اجرای کد دلخواه را بدهد.

Thomas Chauchefoin، محقق آسیب‌پذیری SonarSource، در گزارشی که در این مورد منتشر کرده است، گفت[۱]: “مهاجمی که از اولی بهره‌برداری می‌کند، می‌تواند هر حساب توسعه‌دهنده را تصاحب کند و نسخه‌های مخرب را منتشر کند، درحالی‌که باگ دوم به مهاجم اجازه می‌دهد تا به سرور مرکزی PEAR دسترسی دائمی داشته باشد.”

PEAR، مخفف PHP Extension and Application Repository، یک فریمورک و سیستم توزیع برای اجزای PHP قابل‌استفاده مجدد است.

یکی از مسائلی که در مارس ۲۰۰۷ و زمانی که این ویژگی در ابتدا اجرا شد، در یک code commit معرفی شد [۲]، مربوط به استفاده از تابع mt_rand() PHP ناامن[۳] [۳] ازنظر رمزنگاری در عملکرد بازنشانی رمز عبور است که به مهاجم اجازه می‌دهد یک توکنِ معتبرِ ریست کردنِ رمز عبور را در کمتر از ۵۰ بار تلاش کشف کند.

با مسلح شدن به این بهره‌بردار، یک بازیگر بد می‌تواند حساب‌های توسعه‌دهنده یا مدیر موجود را هدف قرار دهد تا آن‌ها را ربوده و نسخه‌های تروجانیزه‌شده جدیدی از بسته‌هایی را که قبلاً توسط توسعه‌دهندگان نگهداری می‌شد منتشر کند، که منجر به درخطر افتادن زنجیره تأمین گسترده می‌شود.

آسیب‌پذیری دوم، که دشمن را ملزم می‌کند تا آن را با نقص فوق‌الذکر زنجیره‌ای کند تا به دسترسی اولیه دست یابد، از اتکای pearweb [4] به نسخه قدیمی‌تر Archive_Tar ناشی می‌شود [۵] که در معرض یک اشکال پیمایش دایرکتوری[۶] با شدت بالا است (CVE-2020-36193 و امتیاز: ۷٫۵) و منجر به اجرای کد دلخواه می‌شود[۷].

Chauchefoin دراین‌باره گفت: “این آسیب‌پذیری‌ها برای بیش از یک دهه وجود داشته‌اند و برای شناسایی و بهره‌برداری بی‌اهمیت بودند و سؤالاتی را در مورد فقدان مشارکت‌های امنیتی از سوی شرکت‌های متکی بر آن ایجاد کردند.”

این یافته‌ها در مورد مسائل امنیتی دومین بار است که در زنجیره تأمین PHP در کمتر از یک سال کشف می‌شود. در اواخر آوریل ۲۰۲۱، آسیب‌پذیری‌های حیاتی در مدیریت بسته PHP Composer فاش شد[۸] که می‌توانست دشمن را قادر به اجرای دستورات دلخواه کند.

با ظهور حملات زنجیره تأمین نرم‌افزار به‌عنوان تهدیدی خطرناک در پی حوادث protestware با هدف[۹] کتابخانه‌های پرکاربرد در اکوسیستم NPM، مسائل امنیتی مرتبط با وابستگی‌های کد در نرم‌افزار دوباره در کانون توجه قرارگرفته‌اند و استراتژی منبع باز را بر آن داشت تا weaponization منبع باز[۱۰] را یک عمل خرابکاری سایبری که بر هر سود احتمالی برتری دارد، بنامد.

منابع

[۱] https://blog.sonarsource.com/php-supply-chain-attack-on-pear

[۲] https://github.com/pear/pearweb/commit/49cb3ec29be5ed9eb94db4b0192a10fca9852137#diff-204452a70c5b0b0084097fcff6aee77c2c38cb77a41c4b2dd0065fda37a7489c

[۳] https://www.php.net/manual/en/function.mt-rand.php

[۴] https://pear.php.net/package/pearweb/

[۵] https://pear.php.net/package/Archive_Tar/

[۶] https://github.com/advisories/GHSA-rpw6-9xfx-jvcx

[۷] https://nvd.nist.gov/vuln/detail/CVE-2020-36193

[۸] https://thehackernews.com/2021/04/a-new-php-composer-bug-could-enable.html

[۹] https://thehackernews.com/2022/03/popular-npm-package-updated-to-wipe.html

[۱۰] https://opensource.org/blog/open-source-protestware-harms-open-source

[۱۱] https://thehackernews.com/2022/04/15-year-old-bug-in-pear-php-repository.html