Ieri mattina, Firefox e Chrome hanno impedito agli utenti di accedere al sito PHP.net, mostrando un messaggio di pericolo che segnalava la presenza di un malware. I gestori del sito e il creatore del linguaggio Rasmus Lerdorf avevano ipotizzato un’errata rilevazione da parte del servizio Safe Browsing usato dai browser di Mozilla e Google. In realtà, si è trattato di un vero e proprio attacco cracker. Qualcuno è riuscito ad iniettare codice JavaScript infetto che installava un malware sui computer dei visitatori.
It appears Google has found a false positive and marked all of http://t.co/yKzgbWewmH as suspicious. pic.twitter.com/YDlHcUnCK6
— Rasmus Lerdorf (@rasmus) October 24, 2013
Un’indagine più approfondita ha permesso di individuare la causa del problema. L’attacco è iniziato il 22 ottobre, quanto i cracker sono riusciti ad effettuare l’accesso ad alcuni server di PHP.net, utilizzando la chiave privata del certificato SSL. Il server che ospita i domini www.php.net, static.php.net e git.php.net, e il server che ospita il dominio bugs.php.net sono stati compromessi. Non è noto tuttavia il metodo utilizzato per compiere l’attacco. I gestori del sito hanno spostato questi domini su nuovi server e revocato il certificato. L’accesso avverrà quindi senza SSL, finché non verrà installato un nuovo certificato.
I Kaspersky Labs e altri ricercatori di sicurezza hanno scoperto che il codice JavaScript infetto è stato copiato nel file userpref.js
. Quando l’utente apriva il sito PHP.net, il codice inviava una richiesta a numerosi server command-and-control, dai quali scaricava il malware Tepfer sviluppato per sfruttare una vulnerabilità di Adobe Flash Player.
Fortunatamente il numero di utenti colpiti dall’attacco è molto limitato, in quanto il processo di sincronizzazione rsync ripristina il file userpref.js originario dopo pochi minuti. Il crawler del servizio Safe Browsing ha probabilmente catturato la finestra temporale durante la quale era in esecuzione il file infetto e pertanto gli utenti hanno visto il warning su Firefox e Chrome.