روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ مهاجمینی ناشناس بتازگی به منظور پیش بردن حملهی زنجیر تأمین در مقیاس بزرگ –آن هم با وارد کردن کدی مخرب به مخزن رسمی PHP GIT- دست به کار شدهاند. اگر توسعهدهندگان به موقع متوجه این بکدر نشده بودند، ممکن بود بسیاری از وب سرورها آلوده شده و بزرگترین حمله زنجیره تأمین در طول تاریخ رقم بخورد!
چه بلایی بر سر PHP آمد؟
برنامهنویسانی که زبان PHP را توسعه دادهاند با استفاده از مخزنی مشترک ساختهشده بر پایهی کنترل سیستمِ نسخهی GIT کد را دچار تغییراتی کردند. بعد از اینکه افزونههای خود را پیادهسازی کردند، طور دیگری مورد بررسی و تحلیل قرار میگیرد. توسعهدهندهای در طول بررسی روتینش متوجه افزونهای مشکوک شد که در کامنتها به عنوان تصحیح اشتباه تایپی علامتگذاری گشته و همچنین به نام نیکیتا پوبوف (توسعهدهنده فعال PHP) نیز افزوده شده بود. بررسیهای دقیقتر نشان داد آن یک بکدر بوده است. پوبوف هرگز چنین تغییری را اعمال نکرده بود. راستیآزماییهای بعدی نیز نشان داد افزونه مشابهی در مخزن آپلوده شده بود که این بار به رزمس لردورف نسبت داده شده بود. برنامهنویسان هشیار ظرف تنها چند ساعت متوجه موضوع شده و بنابراین آپدیت PHP 8.1 (که پیشبینی میشود اواخر سال میلادی منتشر شود) این بکدر را دربرنخواهد داشت.
چرا این تغییر کد خطرناک است؟
بکدر در مخزن میتواند به مهاجمین اجازه دهد تا با استفاده از نسخه دستکاریشدهی PHP از راه دور کد مخربی را روی وب سرور اجرا کنند. با وجود اینکه PHP سر این ماجرا کمی از محبوبیت خود را از دست داد اما باز هم تنها زبان برنامهنویسیایست که به طور گستردهای مورد استفاده قرار میگیرد. این زبان در واقع در بخش محتوای وب توسط حدود 80 درصد وب سرورها به کار میرود. اگرچه همه ادمینها هم آن را فوراً آپدیت نمیکنند؛ اما تعداد قابل قبولی برای پیروی از قوانین امنیتی داخلی و خارجی سرورهای خود را بروز خواهند کرد. اگر بکدر پایش به نسخه جدید PHP باز شود احتمال میرود وب سرورهای بسیاری از شرکتها را مبتلا کند.
چطور مهاجمین بکدر را وارد میکنند؟
متخصصین مطمئند که این حمله نتیجهی آسیبپذیریایست که در سرور داخلی Git وجود دارد و این مشکل ربطی به دستکاری شدن اکانتهای توسعهدهنده ندارد. در حقیقت، مدتهاست همه ریسک اینکه فردی تغییری را به کاربر دیگری نسبت دهد میشناسند و بعد از این رخداد سایبری هم تیم پشتیبانی فنی PHP دیگر از سرور git.php.net استفاده نکرده و به مخزن سرویس GitHub روی آوردند (مخزنی که تا پیش از این تنها یک آینه بود).
راهکارهای امنیتی
محیطهای توسعه همیشه برای مجرمان سایبری طعمههای چرب و نرمی بودهاند. وقتی یکبار کد محصولی نرمافزاری را که مشتریان بدان اعتماد دارند دستکاری کردند؛ آنوقت است که میتوانند با حمله زنجیره تأمین به چندین تارگت دسترسی پیدا کنند. میلیونها کاربر در سراسر جهان از محبوبترین پروژهها استفاده میکنند پس محافظت خارجی از آنها بسیار اهمیت دارد.
- مرتباً هر تغییر کدی را چک کنید؛ حتی آنهایی که ظاهراً از سوی برنامهنویسان مشهور و قابلاعتمادند ارائه میشوند.
- امنیت سرورها و سرویسهای که برای مقصود توسعه برنامه استفاده میشوند را مورد نظارت قرار دهید.
- جهت شناسایی تهدیدهای سایبری از پلتفرمهای تخصصی آنلاین برای آموزش کارمندان خود استفاده کنید.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.