Et supply chain-angreb mod Gravity Forms har udsat brugere af den populære WordPress-plugin for alvorlige sikkerhedstrusler.
Hackere formåede at indsætte en bagdør i manuelle installationsfiler, der blev downloadet fra den officielle Gravity Forms-webside.
De berørte plugin-versioner var 2.9.11.1 og 2.9.12, som kortvarigt var tilgængelige mellem den 10. og 11. juli.
Millioner af hjemmesider bruger Gravity Forms, en premium WordPress-plugin til opbygning af kontaktformularer, betalingsløsninger og undersøgelser. Store organisationer som Airbnb, Nike, ESPN, UNICEF, Google og Yale har installeret plugin’en.
Den ondsindede kode, indsat af trusselsaktører, gjorde det muligt at udføre fjernkode (RCE) på kompromitterede servere.
Angriberne benyttede obfuskeret PHP-kode og base64-kodning til at levere malware og oprette nye admin-konti uden at blive opdaget.
Sådan fungerer bagdøren
Sikkerhedsforskere hos Patchstack identificerede først den mistænkelige adfærd tidligere på ugen.
De fandt ud af, at kompromitterede plugins genererede udgående forespørgsler og lagde PHP-filer, der udgav sig for at være kernekomponenter i WordPress.
Malwaren blev gemt som “wp-includes/bookmark-canonical.php”, som foregav at være en del af WordPress.
Den gjorde det muligt for uautoriserede angribere at aktivere kodeudførelse via funktioner som handle_posts() og handle_widgets().
Supply chain-angrebet mod Gravity Forms benyttede en constructor-baseret kaldkæde for at nå bagdørskoden.
Dette gav hackere uautoriseret kontrol uden krav om admin-legitimationsoplysninger.
Composer-installationer påvirket også
RocketGenius, udvikleren bag Gravity Forms, bekræftede bruddet.
De oplyste, at kun manuelle downloads og composer-installationer var kompromitteret — automatiske opdateringer var ikke påvirket.
Angriberens kode blokerede også opdateringskontroller, kontaktede eksterne servere og tilføjede en rogue admin-konto.
Dette gav hackeren fuld kontrol over de inficerede hjemmesider.
RocketGenius offentliggjorde en post-mortem med vejledning om, hvordan man identificerer og fjerner malware.
De anbefaler at downloade en ren version igen og scanne de berørte systemer for bagdøre eller uautoriserede admin-konti.
Bredere konsekvenser
Supply chain-angrebet mod Gravity Forms understreger faren ved at downloade plugins uden for det officielle WordPress-arkiv.
Selv legitime hjemmesider kan ubevidst distribuere malware under målrettede kompromitteringer.
Sikkerhedsfirmaer råder hjemmesideadministratorer til at gennemgå downloads fra 10.–11. juli og straks geninstallere rene plugin-versioner.
De anbefaler også at låse adgang og aktivere filintegritetsmonitorering.
0 svar til “Supply Chain-angreb mod Gravity Forms inficerer plugin-downloads med bagdørsmalware”