En supply chain-attack mot Gravity Forms har utsatt användare av den populära WordPress-pluginsen för allvarliga säkerhetshot.
Hackare lyckades infektera manuella installationsfiler som laddats ner från den officiella Gravity Forms-webbplatsen med en bakdörr.
De drabbade plugin-versionerna var 2.9.11.1 och 2.9.12, vilka fanns tillgängliga under en kort period mellan den 10 och 11 juli.
Miljoner webbplatser använder Gravity Forms, en premiumplugin för WordPress för att skapa kontaktformulär, betalningar och undersökningar. Stora organisationer som Airbnb, Nike, ESPN, UNICEF, Google och Yale har installerat den.
Den skadliga koden, insatt av hotaktörer, möjliggjorde fjärrkörning av kod (RCE) på komprometterade servrar.
Angriparna använde fördold PHP-kod och base64-kodning för att leverera skadlig kod och skapa nya administratörskonton i det tysta.
Så fungerar bakdörren
Säkerhetsforskare på Patchstack identifierade först det misstänkta beteendet tidigare denna vecka.
De upptäckte att komprometterade plugins genererade utgående förfrågningar och släppte PHP-filer som utgav sig för att vara kärnkomponenter i WordPress.
Malwaren sparades som “wp-includes/bookmark-canonical.php” och låtsades vara en del av WordPress.
Den gjorde det möjligt för obehöriga angripare att trigga kodexekvering via funktioner som handle_posts() och handle_widgets().
Supply chain-attacken mot Gravity Forms utnyttjade en konstruktörsbaserad anropskedja för att nå bakdörrskoden.
Det gav hackare obehörig kontroll utan att kräva administratörsbehörighet.
Composer-installationer påverkades också
RocketGenius, utvecklaren bakom Gravity Forms, bekräftade intrånget.
De uppgav att endast manuella nedladdningar och composer-installationer påverkades – automatiska uppdateringar påverkades inte.
Angriparens kod blockerade även uppdateringskontroller, kontaktade externa servrar och lade till ett skadligt administratörskonto.
Det gav hackaren full kontroll över infekterade webbplatser.
RocketGenius publicerade en post-mortem med vägledning om hur man identifierar och tar bort malwaren.
De rekommenderar att ladda ner en ren version igen och skanna drabbade system efter bakdörrar eller obehöriga administratörskonton.
Vidare konsekvenser
Supply chain-attacken mot Gravity Forms belyser faran med att ladda ner plugins utanför den officiella WordPress-repositoryn.
Även legitima webbplatser kan omedvetet distribuera skadlig kod under riktade kompromisser.
Säkerhetsföretag råder webbplatsadministratörer att granska nedladdningar från 10–11 juli och omedelbart installera rena plugin-versioner igen.
De rekommenderar också att begränsa åtkomsten och aktivera filintegritetsövervakning.
0 svar till ”Supply Chain-attack mot Gravity Forms infekterar plugin-nedladdningar med bakdörrsmalware”