Dalam laporan serangan terbaru, dikabarkan repositori Git resmi PHP berhasil diretas.
Kemarin (28 Maret 2021), ada dua commit berbahaya di push ke repositori Git php-src yang dikelola oleh tim PHP di server git.php.net mereka. Pelaku menyamarkan commit berbahaya tersebut seolah-olah itu dibuat oleh pengembang dan pengelola PHP terkenal, Rasmus Lerdorf dan Nikita Popov.
Insiden ini tentu sangat mengkhawatirkan, mengingat PHP tetap menjadi bahasa pemrograman server-side yang menguasai 79% situs web di Internet.
Dalam commit berbahayanya, penyerang menerbitkan perubahan misterius di upstream, “fix typo” dengan dalih ini adalah koreksi tipografi kecil.
Coba perhatikan baris 370 yang ditambahkan di mana fungsi zend_eval_string dipanggil, kode sebenarnya itu menanamkan backdoor untuk mendapatkan Remote Code Execution (RCE) di situs web dengan versi PHP yang dibajak ini.
“Baris ini mengeksekusi kode PHP dari dalam header HTTP useragent, jika string dimulai dengan ‘zerodium’,” kata pengembang PHP, Jake Birchall.
Meskipun penyelidikan lengkap atas insiden server Git PHP diretas tersebut masih berlangsung, menurut pengelola PHP, aktivitas berbahaya ini berasal dari server git.php.net yang disusupi, bukan dari penyusupan akun Git individu.
Baca Juga: “Masalah Deserialization PHP Membuat CMS WordPress Berisiko“
Sebagai tindakan pencegahan setelah adanya insiden ini, pengelola PHP telah memutuskan untuk memigrasi repositori source code resmi PHP ke GitHub.
“Repositori di GitHub, yang sebelumnya hanya mirror, akan menjadi kanonik,” kata pengelola PHP Nikita Popov.
Dengan perubahan ini, Popov menyatakan bahwa setiap perubahan kode akan di-push langsung ke GitHub daripada ke server git.php.net mulai saat ini.
Bagi kalian yang tertarik untuk berkontribusi pada proyek PHP sekarang perlu ditambahkan sebagai bagian dari organisasi PHP di GitHub.
Instruksinya disediakan dalam pengumuman keamanan yang diterbitkan.
Sedangkan untuk member organisasi, harus mengaktifkan otentikasi dua langkah (2FA) di akun GitHub masing-masing.
