2019年9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。本次事件,暴露了在现有阶段下,ICT供应链安全管理存在的不足,建议完善健全ICT供应链安全管理法律或条款,提高供应链监测水平,构建完善的供应链监管体制,以应对来自软硬件方面的网络安全威胁。

No.1 事件概述

Phpstudy软件是一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,拥有近百万PHP语言学习者、开发者用户。

2018年12月4日,西湖区公安分局网警大队接报案,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据回传大量敏感信息。通过专业技术溯源进行分析,最终确定犯罪嫌疑人共非法控制计算机67万余台,非法获取账号密码类、聊天数据类、设备码类等数据10万余组。而此案也是2019年以来,国内影响最为严重的供应链攻击事件

No.2 原理分析

造成这个漏洞的原因主要是嫌疑人通过编写“后门”,使用黑客手段非法入侵了软件官网,篡改了软件安装包内容。因为该后门直接藏匿于某功能性代码中,根本无法被杀毒软件扫描删除,因此很少有受害者注意到问题。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。从2016年起,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。

No.3 启示建议

这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。在此特别建议:

1.尽快清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;

2.及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;

3.不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网下载最新版PhpStudy安装包进行更新,以防中招。

另外,鉴于目前关键基础设施和重要资源对ICT技术的依赖,通过国家安全审查识别和控制ICT供应链风险成为保障国家安全的重要手段。而此次的事件暴露了软件供应链安全管理的不足,可以看出现阶段缺乏有效的供应链安全监管机制,供应链安全体系亟待完善。

目前,供应链上下游存在的安全隐患已成为威胁ICT供应链安全的重要因素,一方面,当前供应链安全监管机制仍然不健全,导致供应链中潜在的安全风险增加,现有监管制度无法全面地覆盖功能性代码、关键设备、安全专用产品及服务等领域。另一方面,目前供应链安全方面的安全标准和指南尚不完善,缺乏安全事件发生后及时进行发布、分析和应对的相应指导。

为了有效控制此类漏洞事件带来的安全风险,提升关键设备网络安全水平,我们应当进一步完善ICT供应链监管政策,形成包括风险识别、安全评估与审查等手段的监管体系。及时督促企业开展安全漏洞检测与修复,切实减少软件等面临的功能性代码安全隐患。

声明:本文来自网络靖安司,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。