Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향PHP의 Git, 서버 해킹으로 백도어 코드 추가됐다.
작성일 2021-03-30 조회 4476

최근 소프트웨어 공급망 공격에서(Supply Chain) 공식 PHP Git 저장소가 해킹을 통해 변조됬다. 28일, 두 개의 악의적인 Commit이 git.php.net 서버에 유지관리 되던 Git 저장소에 Push된것을 발견했다.

 

이번 사건은 모든 인터넷 웹사이트 중 79% 이상이 프로그래밍 언어로 사용되는 PHP대상으로 벌어진 사건이기 때문에 심각했다. Bleeping Computer는 php git을 통해 악의적으로 Commit된 History를 확인할 수 있었다.

 


[그림1. 삽입된 Backdoor Commit 코드]

 

 

 

추가된 소스코드는 PHP가 실행되는 웹사이트에서 원격 코드 실행(RCE) 역할을 수행할 수 있으며 HTTP 헤더의 User-Agent 구간에 문자가 "zerodium" 으로 시작할 경우 동작하도록 했다. PHP의 일원인 Popov는 "악의적으로 Commit된 코드는 몇시간 후에 발견했고 즉시 제거했다" 고 언급했다. 추가적으로 코드 Commit 은 PHP 프로그래 중 한명인 Rasmus Lerdorf의 계정으로 이뤄졌다.

 

사건이 발생한지 얼마 지나지 않아 PHP측은 공지를 통해 백도어 코드가 추가됬던 것을 언급 했으며 즉시 제거했다고 알렸다. 어떻게 계정을 탈취해 Commit을 수행할 수 있었는지는 아직 밝혀지지 않았다.

 


[그림2. PHP 공지]

 

 

 

이 사건 이후 PHP 관리자들은 예방 차원으로 PHP 소스 코드 저장소를 Github로 이동했다. 또한 "조사가 진행되고 있으며 우리는 Gitit 인프라를 유지하는 것이 보안적으로 위험하다고 생각해 git.php.net 서버를 중단시키기로 결정했다"고 밝혔다.

 

출처

 

https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/

첨부파일 첨부파일이 없습니다.
태그 PHP