Los populares formularios de gravedad del complemento de WordPress se han visto comprometidos en lo que parece un ataque de cadena de suministro donde los instaladores manuales del sitio web oficial estaban infectados con una puerta trasera.
Gravity Forms es un complemento premium para crear contacto, pago y otros formularios en línea. Según los datos estadísticos del proveedor, el producto no se realiza en alrededor de un millón de sitios web, algunos pertenecientes a organizaciones conocidas como Airbnb, Nike, ESPN, UNICEF, Google y Yale.
Ejecución de código remoto en el servidor
La firma de seguridad de WordPress, Patchstack, dice que recibió un informe el día de hoy sobre las solicitudes sospechosas generadas por complementos descargados desde el sitio web de Gravity Forms.
Después de examinar el complemento, PatchStack confirmó que recibió un archivo malicioso (GravityForms/Common.php) descargado del sitio web del proveedor. El examen más detallado reveló que el archivo inició una solicitud posterior a un dominio sospechoso en «gravityapi.org/sites».
Tras un análisis posterior, los investigadores encontraron que el complemento recopilaba metadatos extensos del sitio, incluidos la URL, la ruta de administración, el tema, los complementos y las versiones PHP/WordPress, y lo exfiltran a los atacantes.
La respuesta del servidor incluye malware PHP codificado por Base64, que se guarda como «WP-Includes/Bookmark-Canonical.php».
El malware se disfraza de las herramientas de administración de contenido de WordPress que habilita la ejecución de código remoto sin la necesidad de autenticarse usando funciones como ‘handle_posts (),’ ‘handle_media (),’ ‘handle_widgets ()’.
«Todas esas funciones se pueden llamar desde __construct -> init_content_management -> manejar_requests -> process_request function. Por lo tanto, básicamente puede ser activado por un usuario no autorenticado». Patchstack explica.
«Desde todas las funciones, realizará una llamada EVAL con la entrada proporcionada por el usuario, lo que dará como resultado la ejecución de código remoto en el servidor», dijeron los investigadores.
RocketGenius, el desarrollador detrás de los formularios de gravedad, fue informado del problema, y un miembro del personal le dijo a Patchstack que el malware solo afectó las descargas manuales y la instalación del compositor del complemento.
PatchStack recomienda que cualquiera que descargó los formularios de gravedad que comienzan ayer reinstalan el complemento obteniendo una versión limpia. Los administradores también deben escanear sus sitios web para obtener signos de infección.
Según PatchStack, los dominios que facilitan esta operación se registraron el 8 de julio.
Los piratas informáticos agregan una cuenta de administración
RocketGenius ha publicado una autopsia del incidente que confirma que solo se comprometieron los formularios de gravedad 2.9.11.1 y 2.9.12 disponibles para la descarga manual entre el 10 y el 11 de julio.
Si los administradores ejecutaban una instalación de compositor para la versión 2.9.11 en cualquiera de las dos fechas, recibieron una copia infectada del producto.
«El servicio API de gravedad que maneja las licencias, las actualizaciones automáticas y la instalación de complementos iniciados desde el complemento de Gravity Forms nunca se comprometieron. Todas las actualizaciones de paquetes administradas a través de ese servicio no están afectadas» – – – Rocketgenio
RocketGenius dice que el código malicioso bloqueó los intentos de actualización, contactó a un servidor externo para obtener cargas útiles adicionales y agregó una cuenta de administración que le dio al atacante el control completo del sitio web.
El desarrollador también proporciona métodos para que los administradores Verifique la posible infección siguiendo enlaces específicos en sus sitios web.
Si bien los ataques de nubes pueden estar cada vez más sofisticados, los atacantes aún tienen éxito con técnicas sorprendentemente simples.
A partir de las detecciones de Wiz en miles de organizaciones, este informe revela 8 técnicas clave utilizadas por los actores de amenaza de fluidos de la nube.
Obtenga el informe