サプライチェーン攻撃により、Gravity Forms WordPressプラグインのトロイの木馬化された2つのバージョンが公式ダウンロードページを通じて配布されました。
Gravity Formsは、100万以上のアクティブインストール数を誇る使いやすいWordPressフォームビルダーです。ビジュアルフォームエディターを提供し、トランザクション管理やワークフロー自動化をサポートし、幅広いフォームカスタマイズにも対応しています。
Gravity Formsに関連する悪意のある活動は7月11日に発見されました。Patchstackが、プラグインが7月8日に作成された不審なドメインにHTTPリクエストを送信しているとの報告を受けたためです。
このプラグインは、リクエスト内でWordPressインストール情報を送信していることが発覚し、認証されていないユーザーによって呼び出されることで、サーバー上で任意のコードをリモート実行できる悪意のある関数が含まれていました。
同日、Gravity Formsの開発元であるRocketGeniusは、公式ダウンロードページに悪意のあるバージョンのプラグインが掲載されていたことを認めました。
「限定的な期間、かつ特定の方法のみで、手動ダウンロード用に提供されていた2つのGravity Formsコアプラグインパッケージが、外部の攻撃者によって不正なコード修正を加えられ、侵害されました」と開発者は述べています。
RocketGeniusによると、7月9日と7月10日にダウンロードページから入手可能だったGravity Formsバージョン2.9.11.1および2.9.12のみが感染していました。ただし、この期間中にcomposer installを実行し2.9.11.1をインストールしたユーザーも、悪意のあるバージョンを実行していたことになります。
自動更新メカニズムを通じて取得されたパッケージは悪意のあるものではなく、自動更新、ライセンス、インストールを管理するGravity APIサービスも侵害されていなかったと開発者は述べています。
広告。スクロールして続きを読む。
RocketGeniusによれば、侵害されたプラグインバージョンに含まれていた悪意のあるコードは、WordPressウェブサイトに管理者アカウントを作成し、バックドアを設置することで、攻撃者がサイトにリモートアクセスし、コード実行やアカウント操作、データ窃取を可能にするものでした。
プラグインのバージョン2.9.13は7月11日にリリースされ、悪意のあるコードが削除されています。特に7月9日または7月10日に手動でバックドア付きバージョンをダウンロードした場合は、できるだけ早くアップデートするよう強く推奨されています。
「ダウンロード可能なパッケージを保存するために使用しているすべてのサービスのキーと認証情報は、無許可アクセスの可能性を排除するために更新しました。すべての管理者アカウントは監査され、パスワードも変更されています」とRocketGeniusは述べています。
関連記事: Forminator WordPressプラグインの脆弱性により40万のウェブサイトが乗っ取りの危険に
関連記事: OttoKit WordPressプラグインの脆弱性が実際に悪用される
翻訳元: https://www.securityweek.com/hackers-inject-malware-into-gravity-forms-wordpress-plugin/