مهاجمینی ناشناس به منبع کد زبان اسکریپت PHP بَک‌دُر اضافه می‌کنند

مهاجمینی ناشناس بتازگی به منظور پیش بردن حمله‌‌ی زنجیر تأمین در مقیاس بزرگ –آن هم با وارد کردن کدی مخرب به مخزن رسمی PHP GIT- دست به کار شده‌اند. اگر توسعه‌دهندگان به موقع متوجه این بک‌در نشده بودند، ممکن بود بسیاری از وب سرورها آلوده شده و بزرگ‌ترین حمله زنجیره تأمین در طول تاریخ رقم بخورد!

چه بلایی بر سر PHP آمد؟

برنامه‌نویسانی که زبان  PHP را توسعه‌ داده‌اند با استفاده از مخزنی مشترک ساخته‌شده بر پایه‌ی کنترل سیستمِ نسخه‌ی GIT کد را دچار تغییراتی کردند. بعد از اینکه افزونه‌های خود را پیاده‌سازی کردند، طور دیگری مورد بررسی و تحلیل قرار می‌گیرد. توسعه‌دهنده‌ای در طول بررسی روتینش متوجه افزونه‌ای مشکوک شد که در کامنت‌ها به عنوان تصحیح اشتباه تایپی علامت‌گذاری گشته و همچنین به نام نیکیتا پوبوف (توسعه‌دهنده فعال PHP) نیز افزوده شده بود. بررسی‌های دقیق‌تر نشان داد آن یک بک‌در بوده است. پوبوف هرگز چنین تغییری را اعمال نکرده بود. راستی‌آزمایی‌های بعدی نیز نشان داد افزونه مشابهی در مخزن آپلوده شده بود که این بار به رزمس لردورف نسبت داده شده بود. برنامه‌نویسان هشیار ظرف تنها چند ساعت متوجه موضوع شده و بنابراین آپدیت  PHP 8.1 (که پیش‌بینی می‌شود اواخر سال میلادی منتشر شود) این بک‌در را دربرنخواهد داشت.

چرا این تغییر کد خطرناک است؟

بک‌در در مخزن می‌تواند به مهاجمین اجازه دهد تا با استفاده از نسخه دستکاری‌شده‌ی PHP از راه دور کد مخربی را روی وب سرور اجرا کنند. با وجود اینکه PHP سر این ماجرا کمی از محبوبیت خود را از دست داد اما باز هم تنها زبان برنامه‌نویسی‌ایست که به طور گسترده‌ای مورد استفاده قرار می‌گیرد. این زبان در واقع در بخش محتوای وب توسط حدود 80 درصد وب سرورها به کار می‌رود. اگرچه همه ادمین‌ها هم آن را فوراً آپدیت نمی‌کنند؛ اما تعداد قابل قبولی برای پیروی از قوانین امنیتی داخلی و خارجی سرورهای خود را بروز خواهند کرد. اگر بک‌در پایش به نسخه جدید PHP باز شود احتمال می‌رود وب سرورهای بسیاری از شرکت‌ها را مبتلا کند.

چطور مهاجمین بک‌در را وارد می‌کنند؟
متخصصین مطمئند که این حمله نتیجه‌ی آسیب‌پذیری‌‌ایست که در سرور داخلی Git وجود دارد و این مشکل ربطی به دستکاری شدن اکانت‌های توسعه‌دهنده ندارد. در حقیقت، مدت‌هاست همه ریسک اینکه فردی تغییری را به کاربر دیگری نسبت دهد می‌شناسند و بعد از این رخداد سایبری هم تیم پشتیبانی فنی PHP دیگر از سرور git.php.net استفاده نکرده و به مخزن سرویس GitHub روی آوردند (مخزنی که تا پیش از این تنها یک آینه بود).

راهکارهای امنیتی
محیط‌های توسعه همیشه برای مجرمان سایبری طعمه‌های چرب و نرمی بوده‌اند. وقتی یکبار کد محصولی نرم‌افزاری را که مشتریان بدان اعتماد دارند دستکاری کردند؛ آنوقت است که می‌توانند با حمله زنجیره تأمین به چندین تارگت دسترسی پیدا کنند. میلیون‌ها کاربر در سراسر جهان از محبوب‌ترین پروژه‌ها استفاده می‌کنند پس محافظت خارجی از آن‌ها بسیار اهمیت دارد.

• مرتباً هر تغییر کدی را چک کنید؛ حتی آن‌هایی که ظاهراً از سوی برنامه‌نویسان مشهور و قابل‌اعتمادند ارائه می‌شوند.
• امنیت سرورها و سرویس‌های که برای مقصود توسعه‌ برنامه استفاده می‌شوند را مورد نظارت قرار دهید.
• جهت شناسایی تهدیدهای سایبری از پلت‌فرم‌های تخصصی آنلاین برای آموزش کارمندان خود استفاده کنید.