En supply chain-angrep mot Gravity Forms har utsatt brukere av den populære WordPress-pluginen for alvorlige sikkerhetstrusler.
Hackere klarte å legge inn en bakdør i manuelle installasjonsfiler lastet ned fra den offisielle Gravity Forms-nettsiden.
De berørte plugin-versjonene var 2.9.11.1 og 2.9.12, tilgjengelige i en kort periode mellom 10. og 11. juli.
Millioner av nettsider bruker Gravity Forms, en premium WordPress-plugin for å bygge kontaktskjemaer, betalingsløsninger og undersøkelser. Store organisasjoner som Airbnb, Nike, ESPN, UNICEF, Google og Yale har installert den.
Den ondsinnede koden, lagt inn av trusselaktører, tillot fjernkjøring av kode (RCE) på kompromitterte servere.
Angripere brukte obfuskert PHP-kode og base64-koding for å levere malware og opprette nye admin-kontoer stille og rolig.
Hvordan bakdøren fungerer
Sikkerhetsforskere hos Patchstack oppdaget først det mistenkelige oppførselen tidligere denne uken.
De fant ut at kompromitterte plugins genererte utgående forespørsler og la igjen PHP-filer som utga seg for å være kjernekomponenter i WordPress.
Malwaren ble lagret som “wp-includes/bookmark-canonical.php” og utga seg for å være en del av WordPress.
Den gjorde det mulig for uautentiserte angripere å utløse kodekjøring via funksjoner som handle_posts() og handle_widgets().
Supply chain-angrepet mot Gravity Forms baserte seg på en konstruktørbasert kallkjede for å nå bakdørskoden.
Dette ga hackere uautorisert kontroll uten behov for admin-legitimasjon.
Composer-installasjoner berørt også
RocketGenius, utvikleren bak Gravity Forms, bekreftet bruddet.
De opplyste at kun manuelle nedlastinger og composer-installasjoner var kompromittert — automatiske oppdateringer var ikke påvirket.
Angriperkoden blokkerte også oppdateringssjekker, kontaktet eksterne servere og la til en falsk admin-konto.
Dette ga hackeren full kontroll over infiserte nettsider.
RocketGenius publiserte en post-mortem med veiledning for hvordan man kan identifisere og fjerne malware.
De anbefaler å laste ned en ren versjon på nytt og skanne berørte systemer for bakdører eller uautoriserte admin-kontoer.
Videre konsekvenser
Supply chain-angrepet mot Gravity Forms understreker faren ved å laste ned plugins utenfor den offisielle WordPress-repositorien.
Selv legitime nettsider kan uvitende distribuere malware ved målrettede kompromitteringer.
Sikkerhetsselskaper råder nettsideadministratorer til å gjennomgå nedlastinger fra 10.–11. juli og reinstallere rene plugin-versjoner umiddelbart.
De anbefaler også å begrense tilgang og aktivere overvåking av filintegritet.
0 svar til “Supply Chain-angrep mot Gravity Forms infiserer plugin-nedlastinger med bakdørsmalware”