PHPライブラリサービスの「PEAR」でセキュリティ侵害が見つかる

PHPライブラリサービスの「PEAR」でセキュリティ侵害が見つかる


PHPで利用可能なライブラリを提供するサービス「PEAR」のサーバーに対する攻撃、およびファイル改変というセキュリティ侵害があったことがわかりました。安全性が確認されるまでPEARのサーバーは停止された状態となっています。

PEAR(@pear)さん | Twitter
https://twitter.com/pear

PEARのウェブサーバーがセキュリティ侵害を受けていることを、PEARの公式Twitterアカウントが報告しています。セキュリティ侵害についての最初のツイートは2019年1月19日に投稿されており、「PEAR公式サイトのウェブサーバー上で改変された『tainted go-pear.phar』とセキュリティ侵害が発見されました。PEARのウェブサイト自体は無害なクリーンサイトを再構築するまで使用不能とします。より詳細な情報はPEARの公式ブログでチェックしてください」と記されています。
A security breach has been found on the https://t.co/dwKlscDEFf webserver, with a tainted go-pear.phar discovered.
The PEAR website itself has been disabled until a known clean site can be rebuilt. A more detailed announcement will be on the PEAR Blog once it's back online.— PEAR (@pear) 2019年1月19日

以下がPEARの公式サイト。2019年1月24日時点でもサーバーはダウンした状態のままです。また、詳細が記されているという公式ブログも同じくサーバーがダウンしておりアクセスできません。

PEAR server is down
http://pear.php.net/

サーバーがダウンした状態であることを示すページには、「過去6カ月以内に『go-pear.phar』をダウンロードした場合、同じリリースバージョンのコピーをGitHubから入手し、ファイルのハッシュを比較してください。もしもGitHubからコピーしたものと過去にダウンロードした『go-pear.phar』のハッシュが異なる場合、改変されたファイルが含まれているかもしれません」と記しています。

PEARによると、公式サイトでサーバーがダウンしている状態を知らせるために、以前使用していたcweiske.deを使用しているとのこと。
We are using a previous PEAR mirror box (cweiske) to serve the "PEAR is down" page, while we work to bring the original box back up.— PEAR (@pear) 2019年1月22日

2019年1月23日には調査の末、明らかになったことをTwitter上で報告しています。

「go-pear.phar」ファイルの改変は、1月18日にParanoids FIREチームからの報告で発覚。「go-pear.phar」の最新リリースは2018年12月20日であるため、それ以降に改変が行われたとPEARは推測しています。改変された「go-pear.phar」では、PerlでIPアドレス「104.131.154.154」に対するリバースシェルが生成されるよう設計された行が見つかっています。これ以外のセキュリティ侵害は記事作成時点では発見されておらず、「install-pear-nozlib.phar」ファイルは正常であることが確認されています。また、GitHub上に保存されている「go-pear.phar」ファイルが正常であることも確認されているため、手元に「go-pear.phar」ファイルを持っている場合は比較することでファイルが改変されていないかどうかを確認することができるとのこと。
1/5 What we know: the tainted go-pear.phar file was reported to us on 1/18 by the Paranoids FIRE Team. The last release of this file was done 12/20, so the taint occurred after that. The taint was verified by us on 1/19.— PEAR (@pear) 2019年1月23日

2/5 What we know: The taint was an embedded line designed to spawn a reverse shell via Perl to IP 104.131.154.154. This IP has been reported to its host in relation to the taint.— PEAR (@pear) 2019年1月23日

PEARは「他に潜在的な問題がないか不安だったため、バックアップから新しいボックスを復元するためにサーバーを一時停止した」と明かしており、既にスタッフの間でサーバー修復に取り掛かっているとしています。
4/5 What we know: being unsure of other potential insecurities, we took the site down in order to restore a new box from backups. A previous mirror box was set to host a "PEAR is down" single info page in the meantime.— PEAR (@pear) 2019年1月23日

2018年12月20日以降に「go-pear.phar」ファイルをダウンロードしたユーザーにはファイルが改変されていないかの確認を求めており、2018年12月20日以前に該当ファイルをダウンロードした場合であっても、PEARのインストールを実行した場合は「システムをチェックするのが賢明」とPEARはユーザーに注意喚起しています。

なお、サーバーダウン中にPEARのパッケージをインストールするための方法として、GitHub上から最新版のパッケージをダウンロードし、ディレクトリに移動して「pear install package.xml」もしくは「pear install package2.xml」を実行する、というものが挙げられています。
Workaround for installing PEAR packages while https://t.co/dwKlscDEFf is down:
get the latest Release of the package at GitHub (e.g. https://t.co/BXkQWhkioP), unpack it, cd into that dir, and run `pear install package.xml` or `pear install package2.xml`.— PEAR (@pear) 2019年1月24日

Photo by Markus Spiske


関連ニュースをもっと見る

おすすめ情報

GIGAZINEの他の記事もみる
主要なニュースをもっと見る
社会のニュースをもっと見る
経済のニュースをもっと見る
政治のニュースをもっと見る
国際・科学のニュースをもっと見る
エンタメのニュースをもっと見る
スポーツのニュースをもっと見る
トレンドのニュースをもっと見る
生活術のニュースをもっと見る
地域のニュースをもっと見る

トレンド アクセスランキング

ランキングの続きを見る

トレンド 新着ニュース

新着ニュース一覧へ

総合 アクセスランキング

ランキングの続きを見る

東京 新着ニュース

東京の新着ニュースをもっと見る

東京 コラム・街ネタ

東京のコラム・街ネタをもっと見る

特集

特集一覧を見る

記事検索