Episódio 111: Repositório PHP Git comprometido

O repositório Git auto-hospedado para PHP foi comprometido, com invasores adicionando um backdoor a uma versão de desenvolvimento do PHP 8.1. A intrusão foi detectada pela comunidade PHP rapidamente e nenhum ambiente de produção foi afetado. Ubiquiti experimentou uma intrusão em janeiro que foi muito pior do que originalmente relatado; os invasores obtiveram acesso a quase todos os ativos da AWS para a empresa que distribuiu 85 milhões de dispositivos IoT. Algumas vulnerabilidades do OpenSSL foram corrigidas recentemente e duas novas vulnerabilidades em sistemas operacionais baseados em Linux podem permitir que os invasores contornem as mitigações de Espectro para obter informações confidenciais da memória do kernel.

Aqui estão os carimbos de data/hora e links, caso você queira dar uma olhada, e uma transcrição está abaixo.
0:22 PHP comprometido: o que os usuários do WordPress precisam saber
5:11 Denunciante: Ubiquiti Violação “Catastrófica”
8:44 OpenSSL corrige falha de alta gravidade que permite que hackers travem servidores
10:38 Novos bugs podem permitir que os hackers contornem as atenuações de ataques espectrais em sistemas Linux
12:40 Defiant está contratando !
12h55 Barista to World Class Threat Researcher: Chloe’s Journey at Wordfence

Encontre-nos em seu aplicativo ou plataforma favorita, incluindo iTunes , Google Podcasts , Spotify , YouTube , SoundCloud e Céu Encoberto .

Clique aqui para baixar uma versão em MP3 deste podcast. Inscreva-se em nosso feed RSS .

Transcrição do episódio 111

Carneiro:
Bem-vindo ao Think Like a Hacker, o podcast sobre WordPress, segurança e inovação. Sou Ram Gall, analista de ameaças da Wordfence e, comigo, a diretora de marketing Kathy Zant. Kathy, como você está?

Kathy:
As coisas estão indo muito bem. Está indo bem aqui. Uau, tivemos uma semana agitada, não foi?

Carneiro:
Oh garoto, sim nós temos. Quer dizer, primeiro aquela coisa do PHP.

Kathy:
Sim. Bem-vindo à manhã de segunda-feira. PHP está comprometido. Isso foi um… que chamada de atenção.

Carneiro:
Todos os dias é segunda ou terça-feira.

Kathy:
Foi louco. Então Chloe percebeu isso na manhã de segunda-feira, ela percebeu que havia um boato no noticiário. Era muito cedo, mas imediatamente começamos a dar uma olhada no que estava acontecendo com o repositório PHP git que eles próprios hospedavam. E isso aparentemente teve um compromisso no fim de semana. E queríamos ver o que os usuários do WordPress precisavam saber. Então, postamos uma postagem no blog na segunda-feira sobre isso. Ram, o que você sabe sobre o que aconteceu com este repositório auto-hospedado?

Carneiro:
Há algumas coisas a serem observadas, uma delas é que as alterações foram feitas em um branch de desenvolvimento.

Kathy:
OK. E isso era para o PHP versão 8?

Carneiro:
8.1, quero dizer, ainda não foi lançado. Nenhum servidor web de produção deve usar isso. Portanto, a boa notícia é que isso não deve realmente afetar nenhum cliente WordPress, a menos que você seja o tipo de pessoa que gosta de baixar e compilar automaticamente e executar a versão de desenvolvimento de PHP do PHP. Porque você gosta de viver no limite e talvez haja duas pessoas lá fora que fazem isso para os sistemas de produção, se tanto-

Kathy:
Sim. Bem, eu gosto de viver no limite para algumas coisas, mas PHP versão 8 não é uma dessas coisas.

Carneiro:
Sim. E quero dizer, há algumas outras coisas interessantes. Eles perceberam bem rápido. Parece que os invasores tentaram apontar o dedo para uma empresa que compra o dia zero, a Zerodium.

Kathy:
Zerodium?

Carneiro:
Sim. Mas Zerodium negou qualquer envolvimento.

Kathy:
Direito. E parece que o CEO do Zerodium divulgou um comunicado no Twitter, basicamente dizendo: “Viva o troll que colocou o Zerodium nos commits comprometidos do git do PHP de hoje” e disse que o pesquisador que encontrou o exploit provavelmente estava tentando vendê-lo para entidades , mas nenhum queria. Então ele decidiu queimá-lo apenas para se divertir. Então, o que exatamente eles fizeram com o repositório PHP git?

Carneiro:
Eles basicamente adicionaram uma porta dos fundos que seria executada em todos os sites que executam PHP. Se ele tivesse realmente feito uma versão de produção, onde se você adicionou um agente de usuário que começou com Zerodium, você poderia enviar comandos para esse servidor. Foi muito simples. Era bastante elegante. Também era flagrantemente óbvio. Acho que sim, caso contrário, poderia pensar que o CEO do Zerodium estava protestando um pouco demais, mas acho que, neste caso, ele provavelmente ficou ofendido por ser tão amador.

Kathy:
Sim.

Carneiro:
Com isso dito, o PHP negou que fosse devido a um exploit ou controle de conta de usuário comprometido, o que significa que… E novamente este CEO Zerodium sugeriu que alguém realmente queimou um exploit. Então, isso é um pouco preocupante porque significa que há uma exploração ou uma vulnerabilidade de dia zero por aí, flutuando para Git auto-hospedado, esse é o tipo de implicações disso. A organização PHP decidiu migrar para o GitHub, que é centralizado. Então, quando pensamos no Git, normalmente pensamos no GitHub, pelo menos se você for bastante novo nisso, mas o Git foi originalmente planejado para ser um sistema de repositório de código-fonte descentralizado. Parece que há uma espécie de implicação de que existe ou havia algum tipo de vulnerabilidade e o próprio git que foi usado para explorar isso, embora eu não saiba se já foi corrigido.

Kathy:
O grupo PHP está mudando para o GitHub e estão realizando algumas etapas adicionais para proteger seu repositório no GitHub. O que, agora como um usuário do WordPress, essa exploração em particular não significa nada para mim. Devo me preocupar com o que isso significa para o WordPress e PHP daqui para frente?

Carneiro:
Provavelmente não. Na verdade, o PHP está tomando medidas para tornar sua organização e seu código-fonte mais seguro. Então eu acho que a probabilidade de algo acontecer no futuro para o PHP é na verdade menor do que teria acontecido se não tivesse acontecido.

Kathy:
Quando falei sobre avaliar plug-ins em vários WordCamps e outros enfeites. Uma das coisas que sempre disse aos participantes do WordCamp é que uma das melhores coisas sobre o WordPress é que ele é um sistema de código aberto. É uma comunidade de código aberto. Portanto, se houver um problema com qualquer coisa no repo, isso será notado muito rapidamente, e a mesma coisa aconteceu aqui. Parece que o aspecto da comunidade de código aberto do WordPress e o que mantém o WordPress seguro e todos esses olhos no código-fonte também se aplica ao PHP.

Carneiro:
Sim. Quero dizer, neste caso, Nikita Popov, um dos principais contribuidores do projeto, foi incrivelmente transparente e basicamente deixou que todos soubessem que perceberam isso imediatamente depois que aconteceu. Esse é o tipo de coisa que é louvável, e essa é uma das melhores coisas sobre o código aberto. Quando vemos algo, dizemos algo no que diz respeito ao código malicioso, ao contrário de uma determinada empresa… Isso foi-

Kathy:
Outra de suas grandes seguidas, Ram.

Carneiro:
sim. Ao contrário de uma certa empresa que foi violada em janeiro. Isso foi ofuscado pelos ventos solares porque todos estavam falando sobre nada além de ventos solares na época. Porque era a grande coisa. Mas, aparentemente, a Ubiquiti foi violada em janeiro, a empresa que fabrica os roteadores mesh e dispositivos inteligentes. Eu trabalhava em um escritório que usava roteadores Ubiquiti e conheço pessoas que têm roteadores domésticos Ubiquiti.

Kathy:
Sim. E só de olhar para nossas notas, parece que há mais de 85 milhões de dispositivos Ubiquiti por aí.

Carneiro:
Sim. De qualquer forma, eles tiveram uma violação de dados em janeiro e alegaram envolver o roubo de credenciais de clientes e colocaram a culpa em um fornecedor terceirizado. Mas agora um denunciante se apresentou dizendo que o invasor na verdade ganhou acesso de administrador a seus servidores na AWS, de acordo com Krebs on Security. Portanto, o informante disse que os invasores tiveram acesso a credenciais privilegiadas que foram armazenadas na conta Last Pass de um funcionário da Ubiquiti. Então, eles ganharam acesso de administrador raiz a todas as contas AWS da Ubiquiti, incluindo todos os depósitos de dados e S3, todos os logs de aplicativos, todos os bancos de dados, todas as credenciais de banco de dados, todos os segredos necessários para personificar os logins das pessoas, literalmente tudo. Isso teria dado aos invasores a capacidade de provavelmente comprometer todos os roteadores e dispositivos inteligentes que permitiam o acesso remoto, que acredito estar ativado por padrão. Então, seria a maioria deles.

Kathy:
Isso é absolutamente insano. Uau! Então, o que sabemos sobre o que aconteceu com os dispositivos Ubiquiti?

Carneiro:
Na verdade, ainda não sabemos muito sobre o vetor de intrusão, exceto os invasores que obtêm acesso à conta Last Pass. Existem várias maneiras que poderiam ter acontecido se eles, por exemplo, usassem a mesma senha de sua senha mestre de última passagem, como em uma violação de dados separada. Isso é o que acontece com as violações de dados que tendem a ficar encadeadas.

Kathy:
Sim, exatamente. E parece que os intrusos, de acordo com o artigo de Krebs, os intrusos responderam enviando uma mensagem dizendo que queriam 50 Bitcoin, que muda de valor a cada minuto, mas-

Carneiro:
Mas é muito, não importa o minuto que seja. Quero dizer, são muitos Bitcoins.

Kathy:
No momento desta publicação e leitura de Krebs, são 2,8 milhões de dólares americanos em troca de permanecer calado sobre esta violação em particular. Portanto, uma violação muito assustadora, de fato. Hein?

Carneiro:
Sim, acho que a Ubiquiti não pagou. E, no entanto, apesar da divulgação da violação, o preço das ações ainda disparou após a divulgação. Embora, eu acho que caiu um pouco depois que esta notícia foi divulgada, embora não esteja claro se é ou não apenas por causa do declínio geral nos preços das ações de tecnologia ou por causa do… “Ei, esses caras não foram realmente transparentes sobre o que aconteceu , ”Que é honestamente mais preocupante. É meio óbvio que as empresas não estão sendo punidas tanto quanto costumavam por deixar as pessoas saberem que houve uma violação. Quer dizer, já falamos sobre isso no passado sobre como você sabe que muitos plug-ins estão preocupados com o que acontece com sua contagem de instalações depois que divulgamos a vulnerabilidade neles. Mas todo mundo se recupera muito rapidamente nele. Mesmo se você não for transparente sobre isso, mas você realmente deve ser transparente sobre isso, seja transparente sobre isso.

Kathy:
Os pesquisadores de segurança realmente gostariam que você fosse transparente sobre isso. O que sabemos sobre o OpenSSL? Parece que eles tinham alguma falha de alta gravidade que permitia que os hackers travassem os servidores.

Carneiro:
Na verdade, existem duas vulnerabilidades diferentes. Um deles é muito mais problemático na prática, e um deles é muito mais assustador na teoria, mas provavelmente mais difícil de executar. Então, um deles basicamente foi um ataque de negação de serviço. Você poderia basicamente se conectar a um servidor executando uma versão vulnerável e, em seguida, renegociar a conexão. Ao enviar as solicitações de renegociação, você pode meio que remover algo que o outro servidor está esperando, uma informação crítica. Então é como,”Ei, eu quero renegociar este pedido, mas vou deixar de fora o que você está esperando.”E isso foi o suficiente para travar o servidor. O outro era um pouco mais assustador, embora menos provável de ser explorado no mundo real por uma série de razões. Número um, e isso só poderia ser explorado se o cliente realmente tivesse a verificação estrita ativada.

Carneiro:
Portanto, se o fizeram, se você está enviando uma solicitação a um servidor e tem a verificação estrita ativada, isso pode enganá-lo, fazendo-o pensar que tem um certificado para um domínio diferente ou uma organização diferente. Ele pode fingir ser outro site do que realmente é. Na maioria das vezes, isso não é realmente um grande problema, porque você ainda teria que verificar o domínio e tudo mais. Mas, em teoria, é assustador só porque metade da promessa dos certificados SSL/TLS é que alguém, uma autoridade de certificação, atestou a identidade do site. Mesmo que Let’s Encrypt esteja garantindo que sim, a pessoa que tem o certificado tem o controle do domínio. Sabemos porque adicionamos este registro que verificamos em seu domínio.

Kathy:
Portanto, o OpenSSL versão 1.1.1h e mais recentes são vulneráveis ​​e você deve atualizar para 1.1.1k o mais rápido possível. Portanto, isso manterá seu servidor seguro. Parece um Spectre, não um colapso, mas Spectre está de volta ao noticiário. O que está acontecendo aqui?

Carneiro:
É só uma espécie de recapitulação, isso é como em 2018, mas você poderia extrair dados confidenciais de um computador basicamente ouvindo o tipo de coisa que ele estava adivinhando. Ele tentava economizar tempo adivinhando o que viria a seguir e você poderia extrair chaves de criptografia de coisas disso. De qualquer forma, eventualmente os fabricantes de chips e sistemas operacionais lançaram vários patches. E você se lembra de como isso deixou tudo 20% mais lento?

Kathy:
Sim, sim. Eu me lembro.

Carneiro:
Acontece que você pode contornar esses patches.

Kathy:
Nossa.

Carneiro:
Sim. Essa é a má notícia. E é meio estranho porque, literalmente, na semana passada, o Google lançou uma prova de conceito que permitiria a você explorar Spectre no navegador, se você estiver em um computador sem patch. Isso é algo que… Isso é uma ameaça real, para o mundo real. A boa notícia é que o Google ainda demorou dois anos para apresentar uma prova de conceito realista. Portanto, a maioria das pessoas que usam qualquer uma dessas soluções alternativas ou explorações provavelmente serão Estados-nação ou, pelo menos, APTs. Você pessoalmente provavelmente não vai sofrer com isso, mas ainda meio que mostra que não existe segurança perfeita.

Kathy:
Não existe segurança perfeita. Mas isso é definitivamente muito interessante para pesquisadores de segurança, provavelmente não afetará nenhum site WordPress por aí, mas como os sites WordPress estão rodando em servidores que usam chips para operar, isso tem um efeito. Portanto, teremos links-

Carneiro:
E as pessoas que visitam sites WordPress também usam chips que podem ser vulneráveis ​​a isso.

Kathy:
Os chips estão por toda parte.

Carneiro:
Chips estão por toda parte. Acabei de comer um pouco no café da manhã.

Kathy:
Do tipo americano ou britânico?

Carneiro:
Tortilla.

Kathy:
O tipo do Arizona. Entendi.

Carneiro:
O tipo do Arizona. Sim.

Kathy:
Entendi. Ok, excelente. Portanto, o Wordfence ainda está contratando. Ainda temos algumas posições em aberto. Como um lembrete, temos um vale-presente de $ 500. Se você nos indicar um candidato bem-sucedido que se junta à nossa equipe, teremos links para ele. Em nossas notas de show. Também lançamos um vídeo esta semana de um recente episódio ao vivo do Wordfence, onde Chloe falou sobre como começou aqui no Wordfence e como se tornou a pesquisadora de ameaças de nível mundial que é hoje, uma jornada de carreira interessante, mas todos nós já tivemos isso aqui no Wordfence, não é? Ram?

Carneiro:
Existe uma coisa misteriosa em que as pessoas que trabalharam em cafeterias são realmente boas em responder a ameaças.

Kathy:
sim. Você trabalhou em uma cafeteria, não é?

Carneiro:
Sim, eu fiz.

Kathy:
Sim. E você é bom em responder a ameaças. Então. Ei.

Carneiro:
Ei.

Kathy:
Então, dê uma olhada no vídeo de Chloe e se você souber de alguém que gostaria de se juntar à nossa equipe, envie-o para nossas listas de empregos-

Carneiro:
Especialmente se eles trabalharam em cafeterias em algum momento no passado.

Kathy:
Exatamente. Sim, porque temos máquinas de café agora que precisamos aprender.

Carneiro:
Sim, eu realmente comprei meu MoccaMaster e ele é de pistache! É maravilhoso. O café é brilhante. Então, estou com muito mais cafeína do que na semana passada.

Kathy:
Excelente. Excelente. Bem, obrigado por se juntar a mim e trazer toda a sua cafeína esta semana, Ram. É sempre bom conversar com você sobre o que está acontecendo nas notícias de segurança.

Carneiro:
Sim. Obrigado. E tchau.

Kathy:
Tchau. Falaremos com você na próxima semana.

Você pode encontrar o Wordfence no Twitter , Facebook , Instagram . Você também pode nos encontrar no YouTube , onde nós tenha nosso Wordfence Live semanal às terças-feiras ao meio-dia, horário do leste, 9h do Pacífico.