PHP Tedarik Zinciri Saldırısı – PHP Merkezi Bileşenindeki Kritik Güvenlik Açığı

Packagist, kod güvenliği şirketi SonarSource tarafından bildirildiği gibi, işlevselliğini etkileyen ciddi bir güvenlik açığına maruz kalmıştır.

PHP topluluğunu hedef alan bir tedarik zinciri saldırısı, istismar edilmiş olsaydı, bu güvenlik açığı kullanılarak mümkün olabilirdi.

PHP bağımlılık yöneticilerinde Composer, bağımlılıkları depolamak için varsayılan depo olarak Packagist'i kullanır. Bunun amacı, Composer kullanılarak kurulabilecek tüm genel PHP paketlerini toplamaktır.

Her ay Composer kullanılarak 2 milyardan fazla paket indiriliyor, bu da önemli bir sayı.

Yeni keşfedilen güvenlik açığı aracılığıyla çeşitli kötü amaçlı bağımlılıklar dağıtılabilirdi ve bu da etkili bir şekilde kötüye kullanılsaydı milyonlarca sunucunun güvenliğinin aşılmasına neden olabilirdi.

Kritik Güvenlik Açığı

Güvenlik açığının CVE-2022-24828 olarak izlendiği ve bir komut ekleme güvenlik açığı olduğu bildirilmiştir. Composer tarafından parametre olarak yorumlanan giriş, bu kusur aracılığıyla bir saldırgan tarafından kontrol edilebilir.

CVE-2022-24828, komut eklemeyle ilişkili Composer için bildirilen başka bir güvenlik açığı olan CVE-2021-29472 ile de ilişkilidir.

Saldırganın Git veya Mercurial deposu üzerindeki denetimlerinin bir sonucu olarak Packagist(.)org ve Private Packagist'i hedeflemek için bu güvenlik açığından yararlanması mümkündür.

CVE-2022-24828'in Gösterilmesi

Git veya Mercurial tarafından denetlenen bir depoya erişimi olan herkes, bir projenin composer.json dosyasında bulunan ve dosyadaki URL'ye göre açıkça listelenen dal adları aracılığıyla kompozisyon aracından yararlanabilir.

Bu güvenlik açığından yararlanmak isteyenlerin, istismar için bir proje oluşturabilecekleri bir Mercurial deposu oluşturmaları gerekir. Ardından, composer.json dosyasında kötü amaçlı bir 'readme' girişi oluşturun ve buna bir bildirim ekleyin.

.sh payload oluşturulduktan sonra, istenen eylemi gerçekleştirmek için kullanılmalı ve ardından paket olarak Packagist'e aktarılmalıdır.

Güvenlik Yaması

Composer'ı library olarak tümleştiriyor ve güvenilmeyen depolarla çalışıyorsanız, Composer'ın aşağıdaki sürümlerine yükseltmeniz önerilir.

• 1.10.26
• 2.2.120
• 2.3.5

Packagist geliştiricileri 7 Nisan'da bu güvenlik açığı hakkında bilgilendirildi ve bundan bir gün sonra derhal bir yama yayınlandı. Yaban hayatında da bildirilen herhangi bir sömürü olayının olmadığını belirtmek önemlidir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.