详细分析PHP源代码后门事件及其供应链安全启示

前言

北京时间3月29日，php官方发布其 git.php.net 服务器遭攻陷，攻击者仿冒PHP编程语言作者Rasmus lerdorf和软件开发者 Nikita Popov 的账号发起了两次恶意代码提交，并留下了远程代码执行后门。本文将从技术角度分析这起事件，并探讨它所折射出的软件供应链安全问题。

源码分析

拉取被植入恶意代码版本的源码后，定位到函数php_zlib_output_compression_start() 。

攻击者仿冒开发者身份，将恶意后门代码插入于 zlib 扩展的php_zlib_output_compression_start() 函数中。

触发 php_zlib_output_compression_start() 函数后，会进行两个判断：

第一个判断全局变量TRACK_VARS_SERVER 类型是否为ARRAY，以及参数_SERVER是否存在。

在第二个判断中，zend_hash_str_find() 把第二个参数作为 KEY值，在第一个数组参数中查找并返回一个指针结果。

当同时满足这两个判断时，将enc参数转换为字符串类型：

通过Z_STRVAL_P(enc)引用指针地址，使用strstr()函数判断字串 zerodium 是否存在。

当攻击者留下的请求判断被通过后，就可以进入代码执行函数：

Zend_eval_string() 函数通过第一个参数以指针移动8位跳过“zerodium”字符，引用“zerodium”后面的代码内容进行命令执行，第三个参数作为执行描述进行标识。

可以在http头部构造类似的payload：

User-Agent:zerodiumsystem(“touch /tmp/php-evil/evil”);

触发此代码执行后门。

zlib_output_compression功能会根据用户请求对页面返回信息进行压缩，以提高反应速度，默认情况下为关闭状态。

修改配置信息后，

可以开启此功能。

在源代码分析阶段，误以为需要开启output_compression才可以触发此漏洞，但经过实际环境复现，发现并不需要，而是可以直接触发。

漏洞复现

1、 环境配置

• 编译安装被植入恶意代码的php源码；

• 安装nginx，并配置连接php；

• 创建简单测试php文件：

<?php echo “hello world”;?>

2、通过 burpsuite 添加恶意 header 头

User-Agentt: zerodiumsystem("touch /tmp/php-evil/evil");

漏洞触发如下图所示：

此次恶意提交因过于明显，已被官方及时发现删除。PHP 官方发布公告称，为避免不必要的安全风险，目前已停用git.php.net服务器 ，且已经在最新版本中删除了此次植入的代码。另外，之后的更新将直接发布在 GitHub 平台上，不再推送到服务器。

供应链安全事件应对建议

使用越来越广泛的开源项目已成为软件基础设施的核心组成部分，开源项目自身的开发安全也愈发重要。代码托管服务器、Git账户、社区账户、制成品仓库等各个开发环节都有可能成为不法黑客的攻击目标。这次PHP官方 Git 服务器被攻陷就是一个典型的案例。

为此，只有整个开源生态在供应链的各个环节建立一系列的安全准则和最佳实践，才能切实保障整个网络空间的安全。例如，在代码最终交付之前，采用应用安全的静态、动态分析方案，尽可能避免造成后门或漏洞；在供应链的各个环节中，引入完整性校验技术及流程，避免遭意外或恶意篡改。

 

---

目前，奇安信代码卫士和开源卫士已支持对PHP相关漏洞的检测。

奇安信代码卫士

基于奇安信代码安全实验室多年的技术积累，奇安信在国内率先推出了自主可控的源代码安全分析系统——奇安信代码卫士和奇安信开源卫士。奇安信代码卫士是一套静态应用程序安全测试系统，可检测1300多种源代码安全缺陷，支持C、C++、C#、Objective-C、Swift、Java、JavaScript、PHP、Python、Cobol、Go等20多种编程语言。奇安信开源卫士是一套集开源软件识别与安全管控于一体的软件成分分析系统，通过智能化数据收集引擎在全球范围内获取开源软件信息和漏洞信息，帮助客户掌握开源软件资产状况， 及时获取开源软件漏洞情报，降低由开源软件带来的安全风险，奇安信开源卫士目前可识别4000多万个开源软件版本，兼容NVD、CNNVD、CNVD等多个漏洞库。