Im PEAR-PHP-Repository wurde eine 15 Jahre alte Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen könnte, einen Supply-Chain-Angriff durchzuführen, indem er sich unberechtigten Zugriff verschafft, um Rogue Packages zu veröffentlichen und beliebigen Code auszuführen.
„Ein Angreifer, der die erste Schwachstelle ausnutzt, könnte ein beliebiges Entwicklerkonto übernehmen und bösartige Versionen veröffentlichen, während der zweite Fehler es dem Angreifer ermöglichen würde, dauerhaften Zugriff auf den zentralen PEAR-Server zu erlangen“, so der SonarSource-Sicherheitsforscher Thomas Chauchefoin in einem diese Woche veröffentlichten Bericht.
PEAR, kurz für PHP Extension and Application Repository, ist ein Framework und Distributionssystem für wiederverwendbare PHP-Komponenten.
Eine der Schwachstellen, die in einem Code-Commit vom März 2007, als die Funktion ursprünglich implementiert wurde, eingeführt wurde, bezieht sich auf die Verwendung der kryptografisch unsicheren PHP-Funktion mt_rand() in der Passwort-Rücksetzfunktion, die es einem Angreifer ermöglichen könnte, „ein gültiges Passwort-Reset-Token in weniger als 50 Versuchen zu entdecken“.
Mit diesem Exploit könnte ein Angreifer bestehende Entwickler- oder Administratorkonten kapern und neue, trojanisierte Versionen von Paketen veröffentlichen, die bereits von den Entwicklern gepflegt werden, was zu einer weitreichenden Gefährdung der Lieferkette führen würde.
Die zweite Schwachstelle, die der Angreifer mit der oben erwähnten Schwachstelle koppeln muss, um den ersten Zugang zu erhalten, ist darauf zurückzuführen, dass pearweb auf eine ältere Version von Archive_Tar zurückgreift, die für einen schwerwiegenden Fehler bei der Umgehung von Verzeichnissen anfällig ist (CVE-2020-36193, CVSS-Score: 7.5), der zur Ausführung von beliebigem Code führt.
Dies ist bereits das zweite Mal innerhalb eines Jahres, dass Sicherheitslücken in der PHP-Lieferkette aufgedeckt wurden. Ende April 2021 wurden kritische Schwachstellen im PHP-Paketmanager Composer bekannt, die es einem Angreifer ermöglichen, beliebige Befehle auszuführen.
Nachdem sich Angriffe auf die Software-Lieferkette als gefährliche Bedrohung herauskristallisiert haben, die auf weit verbreitete Bibliotheken im NPM-Ökosystem abzielen, rücken Sicherheitsprobleme im Zusammenhang mit Code-Abhängigkeiten in der Software wieder ins Rampenlicht, was die Open Source Initiative dazu veranlasst, die „Bewaffnung von Open Source“ als einen Akt des Cyber-Vandalismus zu bezeichnen, der „jeden möglichen Nutzen überwiegt“.
„Diese Schwachstellen sind seit mehr als einem Jahrzehnt vorhanden und waren trivial zu identifizieren und auszunutzen, was Fragen über den Mangel an Sicherheitsbeiträgen von Unternehmen aufwirft, die sich darauf verlassen“, sagte Chauchefoin.