- O site da RocketGenius serviu uma variante maliciosa da gravidade, formam o complemento WordPress por algumas horas
- A variante colheu informações extensas e permitiu RCE
- O malware afetou apenas downloads manuais e instalações compositor
O Gravity Forms, um complemento popular do WordPress com pelo menos um milhão de usuários, foi vítima de um ataque da cadeia de suprimentos no qual os atores de ameaças tentaram implantar malware para seus usuários e assumir seus sites.
Pesquisadores de segurança do Patchstack descobriram que alguém conseguiu se infiltrar no site da Gravity Forms e comprometer o arquivo de instalação do plug-in hospedado lá.
No entanto, existem discrepâncias na linha do tempo e por quanto tempo o malware estava sendo servido.
De acordo com o Patchstack, nos 10 e 11 de julho, os usuários podem baixar as versões de formulários de gravidade 2.9.11.1 e 2.9.12, que vieram com arquivos maliciosos que coletaram extensos metadados do site e malware que permitiram ataques de execução de código remoto (RCE).
Carl Hancock, CEO e co-fundador da Gravity, disse TechRadar Pro Em uma declaração por escrito de que isso não era verdade e que o arquivo .zip comprometido estava disponível apenas por algumas horas.
“A linha do tempo de Patchstack não está correta. A questão foi esporádica, pouco antes das 20h (EST ou UTC-05: 00) na noite de 9 de julho e mitigou na manhã de 10 de julho. Houve uma janela de backup em que o que estava em que se destacou em que o Web em que o Backup usava em vez de que o link de download no dia 10 de julho, em que o link de download, em que o link de download, em que o backup que o invasor usava no link de download no final do dia. Método que eles estavam usando para fazer isso “, disse ele.
Portanto, o período de 10 a 11 de julho não está correto-foi principalmente da noite para o dia de 9 de julho, com uma janela adicional de uma hora mais tarde no dia 10.
Downloads manuais de risco
O malware bloqueou todas as tentativas de atualizar o complemento, contatou um servidor externo para implantar cargas úteis adicionais e criou uma conta de administrador que concedeu aos atacantes controle total sobre o site comprometido.
O Gravity Forms é um plug-in Premium WordPress, permitindo que os usuários criem diferentes formulários usando uma interface de arrastar e soltar. Ele se integra a uma ampla gama de serviços de terceiros, tornando-o popular para formulários de contato, pesquisas, formulários de pagamento e muito mais.
A RocketGenius, a empresa que desenvolve formas de gravidade, determinou que o malware afetou apenas downloads manuais e instalações do compositor do plug -in.
“O serviço da API Gravity que lida com licenciamento, atualizações automáticas e a instalação de complementos iniciados no plug-in de formulários de gravidade nunca foi comprometida. Todas as atualizações de pacotes gerenciadas por esse serviço não são afetadas”, explicou Rocketgenius.
A questão foi confinada ao site de contas de marketing e cliente GravityForms.com, explicou Hancock. Essa entidade não é gerenciada pela mesma empresa de hospedagem da web que o Licensing/Automatic Atualizador/plug -in automático da Gravity Server com o qual o próprio plug -in interage.
“O impacto e a exposição foram mínimos e conhecemos os clientes que estavam em risco de exposição e alcançamos -os em várias ocasiões. Tanto durante quanto depois, bem como um acompanhamento desde então”.
A primeira versão limpa do complemento é 2.9.13, que agora está disponível para download.
Via BleepingComputer
EDIT, 16 de julho – Adicionado esclarecimentos adicionais e uma declaração de Carl Hancock, Gravity Forms Co -fundador e CEO.
Fique conectado