[2019.01.24] PHP PEAR 패키지 메니저 해킹

요약

- PHP 공식 홈페이지에서 제공하는 PHP PEAR패키지 내 악성코드가 삽입된 정황 확인됨

- 공식파일(go-pear.phar)이 아닌 PEAR패키지 매니저 설치파일이 공식 홈페이지에 12/20 이후부터 게재된 것을 확인.

    * PEAR(PHP Extension and Application Repository):

       PHP언어를 사용 무료 라이브러리를 누구나 검색하고 다운 받을 수 있도록 개발된  커뮤니티 기반 프레임워크

       패키지(오픈소스 라이브러리)는 개발자들이 자신의 프로젝트에 인증, 캐싱, 암호화, 웹 서비스 등 다양한 기능들을 추가하는데 사용됨.

- 현재까지 명확한 사건경위가 밝혀지지 않은 상태

     최근 6개월간 PEAR패키지(go-pear.phar)를 공식 홈페이지(http://pear.php.net)로 부터 다운받았을 경우, 

     악성코드가 포함된 파일일 가능성이 존재함으로 조치필요.

     (Windows/Mac시스템의 경우 PEAR파일을 수동으로 설치해야 함으로 설치파일을 다운 받았을 가능성이 높음)

- 현재 악성 설치파일을 분석 중(포렌식을 통한 정밀조사)이나 자세한 내용은 추후에 공개할 예정

- 대응관련 상세

    ⓐ 12/20이후 : go-pear.phar 파일을 다운로드/설치했고, 'sh', 'perl' 명령어 사용이 가능한 경우 반드시 조치 필요

    ⓑ 12/20이전 : 파일에 대한 무결성을 보장할 수 없는 상태이므로 최근 6개월간 PEAR설치를 위해 공식 홈페이지에서 go-pear.phar파일을 

                        받은 경우 점검필요

- 대응방안 : 보안이 강화된 공식 PEAR파일을 Github에서 다운받아 설치 (https://github.com/pear/pearweb_phars/releases/tag/v1.10.10)

- 예외

    ⓐ PHP 설치 시 PEAR이 함께 설치된 경우 : install-pear-nozlib.phar 파일을 사용했기 때문에 안전

    ⓑ Unix/Linux/BSD에서는 시스템용 PHP 소프트웨어 내 PEAR 다운로드 매니저(go-pear.phar)가 패키징 되어 제공되므로 안전.

  ※ PEAR설치 패키지파일 자체는 문제없음. 최초 PEAR 설치 시 go-pear.phar을 실행하는 과정이 영향을 받음.

     'pear' 명령어를 사용해 다양한 PEAR 패키지를 설치한 경우에도 영향을 받지 않음.

---------------

Update: 1/15이후 - 1/24 간 다운로드 받았을 경우 위험. 1/15이전에는 클린 파일이 올라가 있었음

영향성

공식홈페이지를 통해 php PEAR 패키지로 파일을 수동으로 다운로드 받아 단독으로 설치했을 경우에만 해당 (공식 Github 설치파일 안전, Unix계열 시스템 안전)

현재까지 확인된 악성행위 : peal을 통해 리버스쉘을 생성하여 104.131.154.154로 통신하도록 제작되어 있음 

참고자료

공식사이트 : http://pear.php.net/

공식블로그 : http://blog.pear.php.net/ (현재 잠재적인 공격/취약점을 대비해 공식사이트 내림. 백업으로 다시 새로운 박스를 만들어서 올릴 예정)

공식트위터 : https://twitter.com/pear

출처 : https://thehackernews.com/2019/01/php-pear-hacked.html