O popular plugin do WordPress, Gravity Forms, foi comprometido em um ataque que parece ser de supply-chain, onde instaladores manuais do site oficial foram infectados com um backdoor.
Gravity Forms é um plugin premium para a criação de formas de contato, pagamento e outras online.
Baseado em dados estatísticos do fornecedor, o produto está instalado em cerca de um milhão de sites, alguns pertencentes a organizações bem conhecidas como Airbnb, Nike, ESPN, Unicef, Google e Yale.
A firma de segurança WordPress, PatchStack, diz que recebeu um relatório mais cedo hoje sobre pedidos suspeitos gerados por plugins baixados do site do Gravity Forms.
Após examinar o plugin, a PatchStack confirmou que recebeu um arquivo malicioso (gravityforms/common.php) baixado do site do fornecedor.
Uma análise mais detalhada revelou que o arquivo iniciou uma solicitação POST para um domínio suspeito em “gravityapi.org/sites”.
Com análises adicionais, os pesquisadores descobriram que o plugin coletava metadados extensivos do site, incluindo URL, caminho do administrador, tema, plugins e versões PHP/WordPress, e exfiltrava isso para os atacantes.
A resposta do servidor inclui malware PHP codificado em base64, salvo como “wp-includes/bookmark-canonical.php”.
O malware se disfarça como Ferramentas de Gerenciamento de Conteúdo do WordPress que permite a execução de código remoto sem a necessidade de autenticação, usando funções como ‘handle_posts()’, ‘handle_media()’, ‘handle_widgets()’.
"Todas essas funções podem ser chamadas de __construct -> init_content_management -> handle_requests -> process_request function.
Então, basicamente pode ser acionado por um usuário não autenticado", explica a Patchstack.
"De todas as funções, será realizado uma chamada eval com a entrada fornecida pelo usuário, resultando em execução de código remoto no servidor," disseram os pesquisadores.
A RocketGenius, desenvolvedora por trás do Gravity Forms, foi informada do problema, e um membro da equipe informou à Patchstack que o malware afetou apenas downloads manuais e instalação do plugin via composer.
A Patchstack recomenda que qualquer pessoa que tenha baixado o Gravity Forms a partir de ontem reinstale o plugin, obtendo uma versão limpa.
Os administradores também devem escanear seus sites em busca de sinais de infecção.
De acordo com a Patchstack, os domínios facilitando essa operação foram registrados em 8 de julho.
A RocketGenius publicou um post-mortem do incidente confirmando que apenas o Gravity Forms 2.9.11.1 e 2.9.12 disponíveis para download manual entre 10 e 11 de julho foram comprometidos.
Se os administradores realizaram uma instalação via composer para a versão 2.9.11 em uma das duas datas, eles receberam uma cópia infectada do produto.
A RocketGenius diz que o código malicioso bloqueou tentativas de atualização, contatou servidores externos para buscar payloads adicionais, e adicionou uma conta de administrador que deu ao atacante controle completo do site.
O desenvolvedor também fornece métodos para os administradores verificarem possível infecção seguindo links específicos em seus sites.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...