Portada General Repositorio del Código PHP Hackeado ¿Debemos Preocuparnos?
PHP es el lenguaje de programación que usan WordPress, PrestaShop y casi el 80% de los sitios web del mundo en Internet y eso es mucho Internet.
En las última horas han anunciado que se han detectado dos intrusiones en el repositorio que aloja el código fuente de PHP, las dos con intención de añadir una puerta trasera «backdoor» en el propio código PHP.
Si bien estas intrusiones se detectaron rápidamente y desde PHP han asegurado que no existe riesgo alguno, no deja de ser inquietante y puede preocupar a los usuarios que escuchen o lean la noticia sin saber exactamente si deben hacer algo o no para estar a salvo.
Vamos a intentar aclarar un poco todo lo que ha pasado y si tienes que preocuparte por algo o puedes dormir tranquilo por las noches.
Quizás te estás preguntando cómo es posible que alguien pueda acceder al repositorio del código fuente del lenguaje de programación web más utilizado en el mundo.
En realidad PHP es de código abierto, esto significa que cualquiera con conocimientos puede contribuir para mejorarlo.
No existe una empresa detrás que contrate a programadores para desarrollar el código y comercializarlo, PHP es de libre uso y lo mantiene la comunidad.
Aunque si que existe un equipo de desarrolladores, llamado PHP Group, que se encarga de organizar todo el sistema de actualizaciones y desarrollo.
Que cualquiera pueda contribuir no significa que cualquiera pueda tener acceso al código que PHP que vas a instalar en tu servidor, obviamente.
Para poder ser miembro de la comunidad, PHP Group gestiona un repositorio a través de un sistema interno de karma, en el cual se valoraba a los contribuyentes para darles mas o menos permisos de acceso.
Si te extraña que algo tan importante como el PHP sea de código abierto, no lo hagas, WordPress, PrestaShop, MySQL o Apache, también lo son y se utilizan en la mayoría de los sitios web que visitas a diario.
Según han comentado desde PHP Group el ataque parece haberse producido por un fallo en el repositorio git.php.net, el cuál es un espejo del repositorio principal.
Todavía no saben cómo se ha podido producir y la investigación sigue en curso, aunque ya han tomado medidas para evitar esto.
A partir de ahora se utilizará el popular repositorio de GitHub, el sistema de karma queda desactivado y para poder ser contribuyente se deberá solicitar el acceso a PHP Group.
Para poder acceder, será imprescindible utilizar la autenticación de doble factor o 2FA. Esto es cuando tienes que usar un móvil u otro dispositivo verificado para confirmar el acceso a una cuenta.
Si el código PHP se ha comprometido y mi WordPress/PrestasShop/Joomla funciona con PHP ¿Están en peligro mis sitios web?.
Esta es la pregunta del millón y la respuesta corta es: no, no estás en peligro para nada, ni tu WordPress, PrestaShop o cualquier otro sitio web que utilice PHP, al menos no por este motivo en particular.
El ataque se ha realizado en la rama de desarrollo de PHP 8.1 y ahora mismo la versión más actual disponible es la 8.0.
La versión afectada, 8.1, no saldrá hasta finales de año, lo que significa que el ataque se envió a una rama que todavía no está en producción. Esto quiere decir, que no se está utilizando todavía.
Además el problema de seguridad se detecto muy rápidamente y desde PHP Group, afirma que no se llegó a publicar, así que no llegó, ni llegará a ningún servidor.
El ataque, por así llamarlo, ha sido poco elaborado y muy poco trabajado, por no llamarlo «cutre», lo que está causando ciertas suspicacias en la comunidad.
Tenía muy pocas oportunidades de salir bien, por no decir ninguna, debido al exhaustivo control del código que envían los contribuyentes, aunque se hayan hecho pasar por otras personas muy reconocidas en la comunidad PHP.
Existen tres argumentos principales que se están valorando.
La primera y más evidente, un atacante que tenía la intención de infectar el código fuente utilizado en el 80% de los servidores en el mundo.
De salirle bien, podría haberse «hecho de oro» vendiendo su puerta trasera a cientos o miles de atacantes en todo el mundo, aunque no parece que sea muy real debido a, como hemos dicho, lo poco elaborado del ataque.
Otras versión apunta a una especie de «aviso» a la comunidad. Alguien que haya detectado el problema y haya «jugado» con esto para advertirles de lo que se podía hacer y que era necesario tomar medida para cambiarlo.
En el código existían referencia a una empresa de seguridad llamada Zerodium, lo cuales ya han dicho que no son los responsables, que indica que esta puede ser la versión más plausible.
Y por último también se está pensando en un Script Kiddie, una persona con ciertas habilidades que sabe usar scripts de terceros, no creados por él mismo, con la intención de atacar ordenadores o servidores de terceros.
Es un término despectivo que utiliza la comunidad para señalar a las personas que no son capaces de programar sus propios script o exploits y utiliza los de otros personas con el único objetivo de «presumir» de unos conocimientos que realmente no posee.
Dada la poca elaboración del ataque también encajaría con esto, aunque por ahora no se sabe qué o quiénes han sido los responsables.
En cualquier caso, lo importante es que la comunidad ha reaccionado casi al instante y ha tomado las medidas necesarias para que esto no vuelva a pasar, así que por ahora, parece que PHP está en buenas manos.