Une vulnérabilité de sécurité vieille de 15 ans a été révélée dans le référentiel PEAR PHP qui pourrait permettre à un attaquant de mener une attaque sur la chaîne d’approvisionnement, notamment en obtenant un accès non autorisé pour publier des packages malveillants et exécuter du code arbitraire.
« Un attaquant exploitant le premier pourrait prendre le contrôle de n’importe quel compte de développeur et publier des versions malveillantes, tandis que le second bogue permettrait à l’attaquant d’obtenir un accès persistant au serveur PEAR central », a déclaré Thomas Chauchefoin, chercheur sur les vulnérabilités de SonarSource, dans un article publié ce mois-ci. semaine.
PEAR, abréviation de PHP Extension and Application Repository, est un framework et un système de distribution pour les composants PHP réutilisables.
L’un des problèmes, introduit dans une validation de code effectuée en mars 2007 lorsque la fonctionnalité a été initialement implémentée, concerne l’utilisation de la fonction PHP mt_rand() non sécurisée par chiffrement dans la fonctionnalité de réinitialisation du mot de passe qui pourrait permettre à un attaquant de « découvrir un mot de passe valide réinitialiser le jeton en moins de 50 tentatives. »
Armé de cet exploit, un acteur malveillant pourrait cibler des comptes de développeur ou d’administrateur existants pour les détourner et publier de nouvelles versions trojanisées de packages déjà gérés par les développeurs, ce qui entraînerait une compromission généralisée de la chaîne d’approvisionnement.
La deuxième vulnérabilité, qui oblige l’adversaire à l’enchaîner avec la faille susmentionnée pour obtenir l’accès initial, découle de la dépendance de pearweb à une ancienne version d’Archive_Tar, qui est sensible à un bogue de traversée de répertoire de haute gravité (CVE-2020-36193, CVSS score : 7,5), conduisant à l’exécution de code arbitraire.
« Ces vulnérabilités sont présentes depuis plus d’une décennie et étaient insignifiantes à identifier et à exploiter, soulevant des questions sur le manque de contribution à la sécurité des entreprises qui en dépendent », a déclaré Chauchefoin.
Les résultats marquent la deuxième fois que des problèmes de sécurité sont découverts dans la chaîne d’approvisionnement PHP en moins d’un an. Fin avril 2021, des vulnérabilités critiques ont été divulguées dans le gestionnaire de packages PHP Composer qui pourraient permettre à un adversaire d’exécuter des commandes arbitraires.
Alors que les attaques de la chaîne d’approvisionnement logicielle apparaissent comme une menace dangereuse à la suite d’incidents de logiciels de protestation visant des bibliothèques largement utilisées dans l’écosystème NPM, les problèmes de sécurité liés aux dépendances de code dans les logiciels sont de retour sous les projecteurs, incitant l’Open Source Initiative à appeler le » militarisation de l’open source » un acte de cyber-vandalisme qui « l’emporte sur tout avantage possible ».