O conhecido plugin premium para WordPress, Gravity Forms, foi alvo de um ataque à sua cadeia de abastecimento (supply-chain), onde os instaladores manuais disponíveis no site oficial foram infetados com um perigoso backdoor. Este plugin, utilizado para criar formulários de contacto, pagamento e outros, está instalado em aproximadamente um milhão de websites, incluindo os de organizações de renome como a Airbnb, Nike, ESPN, Unicef, Google e a Universidade de Yale.
Um backdoor nos ficheiros oficiais
A empresa de segurança para WordPress, PatchStack, revelou ter recebido um alerta sobre pedidos suspeitos gerados por plugins descarregados diretamente do site do Gravity Forms. Após uma análise cuidada, a empresa confirmou que uma versão do plugin continha um ficheiro malicioso (gravityforms/common.php).
Uma investigação mais aprofundada demonstrou que este ficheiro iniciava um pedido POST para um domínio suspeito, "gravityapi.org/sites". O plugin recolhia uma vasta quantidade de metadados do site – incluindo o URL, caminho de administração, tema, lista de plugins e versões do PHP e WordPress – e enviava essa informação para os atacantes.
Como o ataque permite controlo total
A resposta do servidor dos atacantes incluía um malware em PHP (codificado em base64), que era subsequentemente guardado no ficheiro wp-includes/bookmark-canonical.php. Este malware disfarçava-se como uma ferramenta de gestão de conteúdos do WordPress, permitindo a execução remota de código no servidor sem qualquer necessidade de autenticação.
Segundo a PatchStack, funções como handle_posts(), handle_media() e handle_widgets() podiam ser acionadas por um utilizador não autenticado. Essencialmente, qualquer uma destas funções executava um comando eval com os dados fornecidos pelo atacante, resultando na execução de código remoto no servidor e, consequentemente, no controlo total do website.
Ações a tomar e a resposta da empresa
A RocketGenius, a empresa por detrás do Gravity Forms, foi informada da situação e confirmou o incidente. Num comunicado oficial, a empresa esclareceu que o código malicioso afetou apenas as versões 2.9.11.1 e 2.9.12, disponíveis para download manual entre 10 e 11 de julho. As instalações via Composer da versão 2.9.11 nessas datas também receberam uma cópia infetada.
A empresa garante que "o serviço da API da Gravity, que lida com o licenciamento, atualizações automáticas e a instalação de add-ons a partir do plugin, nunca foi comprometido. Todas as atualizações de pacotes geridas através desse serviço não foram afetadas".
O código malicioso, para além de contactar servidores externos para obter mais payloads, bloqueava as tentativas de atualização do plugin e adicionava uma nova conta de administrador, dando ao atacante controlo total sobre o site.
A recomendação é clara: qualquer administrador que tenha descarregado manualmente o Gravity Forms a partir de 10 de julho deve reinstalar o plugin com uma versão limpa e verificar o seu website em busca de sinais de infeção, seguindo os métodos de verificação disponibilizados pela RocketGenius.
Nenhum comentário
Seja o primeiro!