GravityForms: WordPress-Plug-in in Supply-Chain-Attacke infiziert

Auf der offiziellen Webseite des Plug-ins GravityForms für das Content-Management-System WordPress haben bösartige Akteure infizierte Fassungen zum Download eingestellt. Die manipulierte Version des mehr als eine Million Mal installierten Plug-ins enthält eine Hintertür, die den Angreifern vollständiges Kompromittieren der WordPress-Instanz ermöglicht.

Laut der IT-Forscher von Patchstack hat der Entdecker des mit Malware versehenen Plug-ins am vergangenen Freitag GravityForms von der offiziellen Webseite „gravityforms.com“ heruntergeladen. Das hat jedoch HTTP-Anfragen an die verdächtige Domain gravityapi.com gestellt, die erst am Dienstag vergangener Woche erstellt wurde. Die Anfrage an diese Domain war so langsam, dass die Monitoring-Systeme des Entdeckers darauf ansprangen.

Infektion offenbar nicht weit verbreitet

Die Analysten haben einige größere Webhoster kontaktiert und sie nach den Indizien für einen Befall (Indicators of Compromise, IOCs) suchen lassen. Dabei stellte sich heraus, dass die Infektion nicht weit verbreitet ist; das mit Backdoor versehene Plug-in war offenbar nur kurze Zeit verfügbar und wurde nur von wenigen Opfern heruntergeladen. Patchstack hat bei der Untersuchung herausgefunden, dass auch Groundhog von der Supply-Chain-Attacke betroffen ist. Inwiefern es sich in diesem Kontext um Supply-Chain-Angriffe handelt, erörtert Patchstack nicht genauer.

Die Hintertür im GravityForms-Plug-in hat den Angreifern einige Handlungsmöglichkeiten eröffnet. Sie konnten etwa neue Konten mit Administratorrolle anlegen, beliebige Dateien auf den Server hochladen oder Nutzerkonten löschen. Am Samstag hat Patchstack Backdoor-Aktivitäten beobachtet, bei denen die Angreifer einen verschlüsselten Aufruf an den gf_api_token-Parameter geschickt haben.

Die Programmierer des Plug-ins von RocketGenius hat der Entdecker der manipulierten Version ebenfalls kontaktiert. Von dort hat er etwas später Rückmeldung erhalten: Infiziert war die Version 2.9.12 des Plug-ins. Das Plug-in wurde durch eine saubere Variante ersetzt, zunächst ohne die Versionsnummer anzuheben. Das haben die Entwickler dann im Laufe des Freitags nachgeholt und Version 2.9.13 hochgeladen. Die Domain gravityapi.org hat der Domainregistrar Namecheap stillgelegt.

Vergangene Woche wurde eine Schwachstelle im WordPress-Plug-in SureForms bekannt. Angreifer können durch die Schwachstelle in dem auf mehr als 200.000 Webseiten genutzten Plug-ins die WordPress-Instanz ebenfalls vollständig kompromittieren.

(dmk)