Une vulnérabilité de sécurité vieille de 15 ans a été révélée dans le référentiel PEAR PHP qui pourrait permettre à un attaquant de mener une attaque sur la chaîne d’approvisionnement, notamment en obtenant un accès non autorisé pour publier des packages malveillants et exécuter du code arbitraire.
« Un attaquant exploitant le premier pourrait prendre le contrôle de n’importe quel compte de développeur et publier des versions malveillantes, tandis que le second bogue permettrait à l’attaquant d’obtenir un accès persistant au serveur central PEAR », a déclaré Thomas Chauchefoin, chercheur en vulnérabilités à SonarSource. mentionné dans un article publié cette semaine.
PEAR, abréviation de PHP Extension and Application Repository, est un framework et un système de distribution pour les composants PHP réutilisables.
L’une des questions, introduite dans un validation de code faite en mars 2007 lorsque la fonctionnalité a été mise en œuvre à l’origine, concerne l’utilisation du cryptographiquement non sécurisé mt_rand() Fonction PHP dans la fonctionnalité de réinitialisation du mot de passe qui pourrait permettre à un attaquant de « découvrir un jeton de réinitialisation de mot de passe valide en moins de 50 essais ».
Armé de cet exploit, un acteur malveillant pourrait cibler des comptes de développeur ou d’administrateur existants pour les détourner et publier de nouvelles versions trojanisées de packages déjà gérés par les développeurs, ce qui entraînerait une compromission généralisée de la chaîne d’approvisionnement.
La deuxième vulnérabilité, qui oblige l’adversaire à l’enchaîner avec la faille susmentionnée pour atteindre l’accès initial, provient de toile de poires’appuie sur une ancienne version de Archive_Tarqui est sensible à une forte sévérité bogue de traversée de répertoire (CVE-2020-36193score CVSS : 7,5), conduisant à l’exécution de code arbitraire.
« Ces vulnérabilités sont présentes depuis plus d’une décennie et étaient insignifiantes à identifier et à exploiter, soulevant des questions sur le manque de contribution à la sécurité des entreprises qui en dépendent », a déclaré Chauchefoin.
C’est la deuxième fois que des problèmes de sécurité sont découverts dans la chaîne d’approvisionnement PHP en moins d’un an. Fin avril 2021, des vulnérabilités critiques ont été divulguées dans le gestionnaire de packages PHP Composer qui pourraient permettre à un adversaire d’exécuter des commandes arbitraires.
Alors que les attaques de la chaîne d’approvisionnement logicielle apparaissent comme une menace dangereuse à la suite d’incidents de logiciels de protestation visant des bibliothèques largement utilisées dans l’écosystème NPM, les problèmes de sécurité liés aux dépendances de code dans les logiciels sont de retour sous les projecteurs, incitant l’Open Source Initiative à appeler le « militarisation de l’open source » un acte de cyber-vandalisme qui » l’emporte[s] tout avantage éventuel. »