Μια σημαντική επίθεση στην αλυσίδα εφοδιασμού έθεσε σε κίνδυνο το Gravity Forms, ένα δημοφιλές premium πρόσθετο του WordPress που χρησιμοποιείται από περίπου ένα εκατομμύριο ιστότοπους, συμπεριλαμβανομένων μεγάλων οργανισμών όπως η Airbnb και η Google. Η επίθεση περιελάμβανε κακόβουλο λογισμικό ενσωματωμένο σε χειροκίνητες λήψεις και εγκαταστάσεις composer του πρόσθετου, συγκεκριμένα τις εκδόσεις 2.9.11.1 και 2.9.12, που διανεμήθηκαν μεταξύ 10 και 11 Ιουλίου.
Πώς Συνέβη η Παραβίαση
Η εταιρεία ασφάλειας του WordPress PatchStack ανακάλυψε την κακόβουλη δραστηριότητα αφού έλαβε αναφορές για ύποπτα αιτήματα που προέρχονταν από το πρόσθετο. Η έρευνά τους αποκάλυψε ότι οι μολυσμένες εκδόσεις του πρόσθετου περιείχαν μια κερκόπορτα (backdoor) μέσα στο αρχείο gravityforms/common.php. Αυτό το αρχείο ξεκίνησε ένα αίτημα POST προς το gravityapi.org/sites, έναν ύποπτο τομέα που καταχωρήθηκε στις 8 Ιουλίου.
Λειτουργικότητα του Κακόβουλου Λογισμικού
Μετά την επιτυχή επικοινωνία με τον διακομιστή του εισβολέα, το πρόσθετο εξήγαγε εκτεταμένα μεταδεδομένα ιστότοπου, συμπεριλαμβανομένων της διεύθυνσης URL του ιστότοπου, της διαδρομής διαχειριστή, του θέματος, των εγκατεστημένων προσθέτων και των εκδόσεων PHP/WordPress. Στη συνέχεια, ο διακομιστής απάντησε με κωδικοποιημένο σε base64 κακόβουλο λογισμικό PHP, το οποίο αποθηκεύτηκε στον διακομιστή του θύματος ως wp-includes/bookmark-canonical.php.
Αυτό το κακόβουλο λογισμικό σχεδιάστηκε για να μεταμφιέζεται σε εργαλεία διαχείρισης περιεχομένου του WordPress και επέτρεπε την απομακρυσμένη εκτέλεση κώδικα στον διακομιστή χωρίς να απαιτείται έλεγχος ταυτότητας. Η PatchStack εξήγησε ότι λειτουργίες όπως οι handle_posts(), handle_media(), και handle_widgets() μπορούσαν να ενεργοποιηθούν από έναν μη πιστοποιημένο χρήστη, οδηγώντας σε κλήσεις eval με δεδομένα που παρέχονται από τον χρήστη, παρέχοντας τελικά στους εισβολείς πλήρη έλεγχο.
Ανταπόκριση και Συστάσεις
Η RocketGenius, ο προγραμματιστής του Gravity Forms, επιβεβαίωσε το περιστατικό, δηλώνοντας ότι η υπηρεσία Gravity API, η οποία χειρίζεται την αδειοδότηση και τις αυτόματες ενημερώσεις, παρέμεινε ανεπηρέαστη. Ο κακόβουλος κώδικας συγκεκριμένα απέκλεισε τις προσπάθειες ενημέρωσης εντός του μολυσμένου πρόσθετου, επικοινώνησε με εξωτερικούς διακομιστές για περαιτέρω ωφέλιμα φορτία και μάλιστα πρόσθεσε έναν λογαριασμό διαχειριστή στους παραβιασμένους ιστότοπους, δίνοντας στους εισβολείς πλήρη έλεγχο.
Η PatchStack συνιστά σε όποιον κατέβασε το Gravity Forms στις ή μετά τις 10 Ιουλίου να εγκαταστήσει αμέσως μια καθαρή έκδοση του πρόσθετου και να σαρώσει τους ιστότοπούς του για τυχόν σημάδια μόλυνσης.