Ein Supply-Chain-Angriff auf Gravity Forms hat Benutzer des beliebten WordPress-Plugins ernsthaften Sicherheitsbedrohungen ausgesetzt.
Hackern gelang es, manuelle Installationsdateien, die von der offiziellen Gravity Forms-Website heruntergeladen wurden, mit einer Hintertür zu versehen.
Die betroffenen Plugin-Versionen waren 2.9.11.1 und 2.9.12, die kurzzeitig zwischen dem 10. und 11. Juli verfügbar waren.
Millionen von Websites nutzen Gravity Forms, ein Premium-WordPress-Plugin zur Erstellung von Kontaktformularen, Zahlungsabwicklungen und Umfragen. Große Organisationen wie Airbnb, Nike, ESPN, UNICEF, Google und Yale haben es installiert.
Der von Bedrohungsakteuren eingeschleuste bösartige Code ermöglichte die Ausführung von Remote Code (RCE) auf kompromittierten Servern.
Die Angreifer verwendeten verschleierten PHP-Code und Base64-Kodierung, um Malware zu verbreiten und neue Admin-Konten unbemerkt zu erstellen.
So funktioniert die Hintertür
Sicherheitsforscher von Patchstack identifizierten das verdächtige Verhalten erstmals Anfang der Woche.
Sie fanden heraus, dass kompromittierte Plugins ausgehende Anfragen generierten und PHP-Dateien ablegten, die als Kernkomponenten von WordPress getarnt waren.
Die Malware wurde als „wp-includes/bookmark-canonical.php“ gespeichert und gab vor, Teil von WordPress zu sein.
Sie ermöglichte nicht authentifizierten Angreifern, Code über Funktionen wie handle_posts() und handle_widgets() auszuführen.
Der Supply-Chain-Angriff auf Gravity Forms basierte auf einer constructor-basierten Aufrufkette, um den Backdoor-Code zu erreichen.
Dies gab Hackern unbefugte Kontrolle ohne Administratorrechte.
Auch Composer-Installationen betroffen
RocketGenius, der Entwickler von Gravity Forms, bestätigte die Sicherheitslücke.
Sie erklärten, dass nur manuelle Downloads und Composer-Installationen kompromittiert wurden – automatische Updates waren nicht betroffen.
Der Code des Angreifers blockierte auch Update-Prüfungen, kontaktierte externe Server und fügte ein bösartiges Admin-Konto hinzu.
Dies gab dem Hacker vollständige Kontrolle über infizierte Websites.
RocketGenius veröffentlichte eine Nachbesprechung mit Anleitungen, wie man die Malware erkennt und entfernt.
Sie empfehlen, eine saubere Version erneut herunterzuladen und betroffene Systeme auf Hintertüren oder unbefugte Admin-Konten zu scannen.
Weitere Auswirkungen
Der Supply-Chain-Angriff auf Gravity Forms verdeutlicht die Gefahr, Plugins außerhalb des offiziellen WordPress-Repositories herunterzuladen.
Selbst legitime Websites können unwissentlich Malware während gezielter Kompromittierungen verbreiten.
Sicherheitsfirmen raten Website-Administratoren, Downloads vom 10.–11. Juli zu überprüfen und sofort saubere Plugin-Versionen neu zu installieren.
Sie empfehlen außerdem, Zugriffe zu beschränken und die Integrität der Dateien zu überwachen.
0 Antworten zu „Supply-Chain-Angriff auf Gravity Forms infiziert Plugin-Downloads mit Backdoor-Malware“