Los mantenedores del lenguaje de programación PHP han emitido una actualización con relación al incidente de seguridad que salió a la luz a finales del mes pasado, afirmando que los actores podrían haberse hecho con una base de datos de usuarios que contenía sus contraseñas para realizar cambios no autorizados en el repositorio.
"Ya no creemos que el servidor git.php.net se haya comprometido. Sin embargo, es posible que la base de datos de usuarios master.php.net se haya filtrado", dijo Nikita Popov en un mensaje publicado en su lista de correo el 6 de abril.
El 28 de marzo, actores no identificados utilizaron los nombres de Rasmus Lerdorf y Popov para enviar commits maliciosos al repositorio "php-src" alojado en el servidor git.php.net que implicaban la adición de una puerta trasera al código fuente de PHP en un caso de ataque a la cadena de suministro de software.
Aunque en un principio se trató como un compromiso del servidor git.php.net, una investigación más profunda del incidente ha revelado que los commits fueron el resultado de pushs usando HTTPS y autenticación basada en contraseña, lo que les llevó a sospechar de una posible filtración de la base de datos de usuarios de master.php.net.
El "git.php.net soporta (intencionadamente) el envío de cambios no sólo a través de SSH (utilizando la infraestructura Gitolite y la criptografía de clave pública), sino también a través de HTTPS", dijo Popov. "Este último no usó Gitolite, y en su lugar utilizó git-http-backend detrás de la autenticación Apache 2 digest contra la base de datos de usuarios de master.php.net".
"Es notable que el atacante sólo hace algunas conjeturas sobre los nombres de usuario, y se autentifica con éxito una vez que se ha encontrado el nombre de usuario correcto. Aunque no tenemos ninguna evidencia específica de esto, una posible explicación es que la base de datos de usuarios de master.php.net haya sido filtrada, aunque no está claro por qué el atacante necesitaría adivinar los nombres de usuario en ese caso."
Además, se dice que el sistema de autenticación de master.php.net está en un sistema operativo y una versión de PHP muy antiguos, lo que plantea la posibilidad de que los atacantes también hayan aprovechado una vulnerabilidad del software para realizar el ataque.
Como consecuencia, los responsables han migrado master.php.net a un nuevo sistema main.php.net con soporte para TLS 1.2, además de restablecer todas las contraseñas existentes y almacenar las contraseñas utilizando bcrypt en lugar de un hash MD5 simple.