PHP Git Server RCE Backdoor

2021/04/07 | Imperva News, 最新消息

PHP Git Server RCE Backdoor

 

Imperva 防禦中心團隊已評估了以下最近發現的應用程序漏洞(PHP Git Server RCE 後門)。我們正在通過 ThreatRadar Emergency Feed 提供緩解措施,以有效地保護您免受可能利用此漏洞的零日攻擊。隨後,我們可能會在接下來的幾個小時或幾天內提供更新的緩解措施。請確保已啟用 Emergency Feed Policies,並將其應用到您的應用程序中。

漏洞描述

PHP Git 官方資料庫被駭客入侵,同時代碼庫也被駭客篡改注入後門。

預計今年年底釋出的 PHP 8.1 開發分支中,近日有兩個惡意提交以 PHP 開發者和維護者 Rasmus Lerdorf 和 Nikita Popov 的名義被推送至 PHP 團隊在 git.php.net 服務器上維護的 php-src- Git 資料庫中,此代碼似乎旨在植入後門並創建一個可能進行遠程代碼執行(RCE)的方案,如果字串以 「zerodium」 開頭,就會從 useragent HTTP 頭內執行 PHP 程式碼,所幸很快被 PHP 團隊進行常規代碼審查時發現並復原。

考量到 PHP 仍是伺服器主要的編程語言之一,且支援超過 79% 的網站,PHP 維護人員已決定將官方 PHP 原始碼資料庫遷移至 GitHub。

因 SecureSphere Emergency Feed 功能,您已經受到 OOTB 的保護,無 THR feeds 功能的 On-prem 客戶也不必擔心,請與我們聯繫以獲取對應措施,保護您的設備。