O popular plugin do WordPress, Gravity Forms, foi comprometido em um ataque que parece ser de supply-chain, onde instaladores manuais do site oficial foram infectados com um backdoor.
Gravity Forms é um plugin premium para a criação de formas de contato, pagamento e outras online.
Baseado em dados estatísticos do fornecedor, o produto está instalado em cerca de um milhão de sites, alguns pertencentes a organizações bem conhecidas como Airbnb, Nike, ESPN, Unicef, Google e Yale.
A firma de segurança WordPress, PatchStack, diz que recebeu um relatório mais cedo hoje sobre pedidos suspeitos gerados por plugins baixados do site do Gravity Forms.
Após examinar o plugin, a PatchStack confirmou que recebeu um arquivo malicioso (gravityforms/common.php) baixado do site do fornecedor.
Uma análise mais detalhada revelou que o arquivo iniciou uma solicitação POST para um domínio suspeito em “gravityapi.org/sites”.
Com análises adicionais, os pesquisadores descobriram que o plugin coletava metadados extensivos do site, incluindo URL, caminho do administrador, tema, plugins e versões PHP/WordPress, e exfiltrava isso para os atacantes.
A resposta do servidor inclui malware PHP codificado em base64, salvo como “wp-includes/bookmark-canonical.php”.
O malware se disfarça como Ferramentas de Gerenciamento de Conteúdo do WordPress que permite a execução de código remoto sem a necessidade de autenticação, usando funções como ‘handle_posts()’, ‘handle_media()’, ‘handle_widgets()’.
"Todas essas funções podem ser chamadas de __construct -> init_content_management -> handle_requests -> process_request function.
Então, basicamente pode ser acionado por um usuário não autenticado", explica a Patchstack.
"De todas as funções, será realizado uma chamada eval com a entrada fornecida pelo usuário, resultando em execução de código remoto no servidor," disseram os pesquisadores.
A RocketGenius, desenvolvedora por trás do Gravity Forms, foi informada do problema, e um membro da equipe informou à Patchstack que o malware afetou apenas downloads manuais e instalação do plugin via composer.
A Patchstack recomenda que qualquer pessoa que tenha baixado o Gravity Forms a partir de ontem reinstale o plugin, obtendo uma versão limpa.
Os administradores também devem escanear seus sites em busca de sinais de infecção.
De acordo com a Patchstack, os domínios facilitando essa operação foram registrados em 8 de julho.
A RocketGenius publicou um post-mortem do incidente confirmando que apenas o Gravity Forms 2.9.11.1 e 2.9.12 disponíveis para download manual entre 10 e 11 de julho foram comprometidos.
Se os administradores realizaram uma instalação via composer para a versão 2.9.11 em uma das duas datas, eles receberam uma cópia infectada do produto.
A RocketGenius diz que o código malicioso bloqueou tentativas de atualização, contatou servidores externos para buscar payloads adicionais, e adicionou uma conta de administrador que deu ao atacante controle completo do site.
O desenvolvedor também fornece métodos para os administradores verificarem possível infecção seguindo links específicos em seus sites.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...