In de PHP-repository van PEAR is een 15 jaar oud beveiligingslek onthuld dat een aanvaller in staat zou kunnen stellen een supply chain-aanval uit te voeren, inclusief het verkrijgen van ongeautoriseerde toegang om frauduleuze pakketten te publiceren en willekeurige code uit te voeren.
“Een aanvaller die misbruik maakt van de eerste kan elk ontwikkelaarsaccount overnemen en kwaadaardige releases publiceren, terwijl de tweede bug de aanvaller in staat zou stellen om blijvende toegang te krijgen tot de centrale PEAR-server”, zegt SonarSource-kwetsbaarheidsonderzoeker Thomas Chauchefoin. zei in een artikel dat deze week is gepubliceerd.
PEAR, een afkorting voor PHP Extension and Application Repository, is een framework en distributiesysteem voor herbruikbare PHP-componenten.
Een van de problemen, geïntroduceerd in een code commit gemaakt in maart 2007 toen de functie oorspronkelijk werd geïmplementeerd, heeft betrekking op het gebruik van de cryptografisch onveilige mt_rand() PHP-functie in de wachtwoordresetfunctionaliteit waarmee een aanvaller “een geldige wachtwoordreset-token in minder dan 50 pogingen kan ontdekken”.
Gewapend met deze exploit kan een kwaadwillende zich richten op bestaande ontwikkelaars- of beheerdersaccounts om ze te kapen en nieuwe getrojaanse versies van pakketten te publiceren die al door de ontwikkelaars worden onderhouden, wat resulteert in een wijdverbreid compromis in de toeleveringsketen.
De tweede kwetsbaarheid, waarbij de tegenstander het moet koppelen aan de bovengenoemde fout om de eerste toegang te krijgen, komt voort uit: perenweb‘s vertrouwen op een oudere versie van Archive_Tardie vatbaar is voor een hoge ernst directory traversal bug (CVE-2020-36193CVSS-score: 7,5), wat leidt tot het uitvoeren van willekeurige code.
“Deze kwetsbaarheden zijn al meer dan tien jaar aanwezig en waren triviaal om te identificeren en te exploiteren, wat vragen oproept over het gebrek aan beveiligingsbijdragen van bedrijven die erop vertrouwen”, zei Chauchefoin.
De bevindingen markeren de tweede keer dat beveiligingsproblemen in de PHP-toeleveringsketen zijn ontdekt in minder dan een jaar. Eind april 2021 werden kritieke kwetsbaarheden onthuld in de Composer PHP-pakketbeheerder die een tegenstander in staat konden stellen willekeurige opdrachten uit te voeren.
Nu aanvallen op de toeleveringsketen van software opduiken als een gevaarlijke bedreiging in de nasleep van protestware-incidenten gericht op veelgebruikte bibliotheken in het NPM-ecosysteem, komen beveiligingsproblemen die verband houden met code-afhankelijkheden in software weer in de schijnwerpers, wat het Open Source Initiative ertoe bracht de “bewapening van open source” een daad van cybervandalisme die “opweegt tegen[s] enig mogelijk voordeel.”
