Veszélyes bővítmény a WordPressben: a Gravity Forms elleni támadás

A népszerű WordPress-bővítmény, a Gravity Forms ellátási lánc támadás áldozatává vált: a hivatalos weboldalról manuálisan letöltött telepítőcsomagokat hátsó ajtóval fertőzték meg. A Gravity Forms egy prémium bővítmény, amely kapcsolatfelvételi, fizetési és egyéb online űrlapok létrehozását teszi lehetővé.

A WordPress biztonsággal foglalkozó PatchStack arról számolt be, hogy jelentést kaptak a Gravity Forms weboldaláról letöltött bővítmények által generált gyanús kérésekről. A bővítmény elemzése során megerősítették, hogy egy rosszindulatú fájl gravityforms/common[.]php került be a telepítőcsomagba, amely a gyártó weboldaláról származott. Alaposabb vizsgálat során kiderült, hogy a fájl egy POST kérést indított egy gyanús domain felé gravityapi[.]org/sites címen.

A kutatók további vizsgálatai alapján a plugin kiterjedt webhely-metaadatokat gyűjtött össze (URL-t, adminisztrátori útvonalat, a használt témát, a bővítményeket és a PHP/WordPress verziószámokat), majd pedig ezeket továbbította a támadóknak. A támadók szerverének válasza rosszindulatú base64 kódolású PHP malware-t tartalmazott, amely a wp-includes/bookmark-canonical[.]php fájlba került elmentésre.

A malware WordPress Content Management Tool-ok gyűjteményének álcázta magát, és hitelesítés nélküli távoli kódfuttatást tett lehetővé az alábbi függvények meghívásával:

  • handle_posts(),
  • handle_media(),
  • handle_widgets().

A Patchstack szerint ezek a függvények a következő hívási láncon keresztül érhetők el:

__construct → init_content_management → handle_requests → process_request.

Ez azt jelenti, hogy akár egy nem hitelesített felhasználó is képes volt elindítani őket. Ezen függvények eval hívást hajtanak végre, amely a felhasználótól érkező szöveges adatokat programkódként értelmezi és futtatja. Ez rendkívül veszélyes, mert így a támadók saját kódot juttathattak be, amelyet a szerver engedély nélkül végrehajt.

A RocketGenius az incidens vizsgálata során megerősítette, hogy kizárólag a 2025. július 10–11. között manuálisan letölthető 2.9.11.1-es és 2.9.12-es verziók érintettek.

Ha a rendszergazdák ebben az időszakban töltötték le és telepítették a 2.9.11-es verzió telepítőcsomagját, valószínűleg fertőzött példányt kaptak.

A fejlesztőcég szerint a rosszindulatú kód blokkolta a frissítési kísérleteket, külső szerverhez kapcsolódott további malware-ek letöltéséhez, és adminisztrátori fiókot hozott létre, amely teljes hozzáférést biztosított a támadóknak a webhely felett.

 A RocketGenius azt nyilatkozta, hogy a Gravity API szolgáltatás, amely a licencelést, az automatikus frissítéseket és a Gravity Forms bővítményen belüli kiegészítők telepítését kezeli, nem került veszélybe. Az ezen keresztül kezelt összes csomagfrissítés érintetlen maradt.

A PatchStack azt javasolja, hogy azon felhasználók, akik letöltötték a Gravity Forms-t, haladéktalanul telepítsék újra egy tiszta, megbízható forrásból származó verzióval, valamint győződjenek meg arról, hogy a webhely minden fertőzéstől mentes.

(bleepingcomputer.com)