Один із найпопулярніших плагінів для WordPress, Gravity Forms, став об’єктом атаки на ланцюжок постачання. Зловмисники інтегрували бекдор у плагін, який користувачі завантажували вручну з офіційного сайту.
Один із найпопулярніших плагінів для WordPress, Gravity Forms, став об’єктом атаки на ланцюжок постачання. Зловмисники інтегрували бекдор у плагін, який користувачі завантажували вручну з офіційного сайту.
Як повідомляє BleepingComputer, інцидент торкнувся версій Gravity Forms 2.9.11.1 та 2.9.12, які були доступні для ручного завантаження 10 та 11 липня. Плагін отримали тисячі користувачів, він використовується на понад 1 млн сайтів, зокрема Airbnb, Nike, ESPN, Google, Unicef і Yale.
Перші підозрілі дії зафіксувала компанія з кібербезпеки Patchstack. Після аналізу стало відомо, що файл gravityforms/common.php, завантажений із сайту розробника, надсилає POST-запити на підозрілий домен gravityapi.org/sites. Цей файл витягує метадані про сайт (URL, шляхи до адмінки, активні теми й плагіни, версії PHP і WordPress), а потім отримує й зберігає шкідливий код у вигляді wp-includes/bookmark-canonical.php.
Бекдор замасковано під інструменти керування контентом WordPress. Він дозволяє віддалене виконання коду на сервері навіть без автентифікації. Досить звернутися до функції process_request, яка врешті викликає eval () з вхідними даними користувача — це відкриває шлях до повного контролю над сайтом.
За даними Patchstack, хакери навіть створювали новий обліковий запис адміністратора, що давав їм необмежений доступ до заражених сайтів. Крім того, шкідливий код блокував автоматичне оновлення плагіна, унеможливлюючи самостійне виправлення проблеми.
Розробник плагіна, компанія RocketGenius, підтвердив атаку та опублікував інструкції для виявлення зараження. За їхніми словами, зараження торкнулося лише копій, які завантажувалися вручну або через composer — автоматичне оновлення через систему Gravity API не було скомпрометовано.
Patchstack радить усім адміністраторам, які завантажували Gravity Forms 10 або 11 липня, негайно перевстановити плагін із чистої версії, а також перевірити сайт на наявність шкідливих файлів та підозрілих облікових записів.
Це вже не перший випадок атак на ланцюжки постачання у WordPress-екосистемі. Враховуючи популярність плагіна, інцидент може мати серйозні наслідки для тисяч сайтів по всьому світу.
Нагадаємо, ми також писали про те, як дослідники виявили масштабну кампанію розповсюдження шкідливого ПЗ, до якої причетні хакери, афілійовані з росією, та комерційні рекламні платформи. Ціллю є мільйони користувачів по всьому світу, зламані WordPress-сайти й навʼязливі push-сповіщення.
