Napredan napad na lanac snabdijevanja kompromitovao je zvanični dodatak GravityForms za WordPress, omogućavajući napadačima ubacivanje malicioznog koda koji omogućava udaljeno izvršavanje koda na pogođenim veb lokacijama.
Napad, otkriven 11. jula 2025. godine, predstavlja značajan bezbjednosni propust koji utiče na jedan od najpopularnijih dodataka za izradu obrazaca u WordPress ekosistemu, pri čemu se maliciozni softver distribuira direktno putem zvaničnog domena gravityforms.com.
Ključne informacije:
-
Sofisticirani napad na lanac snabdijevanja kompromitovao je GravityForms verziju 2.9.12, ubacujući maliciozni softver putem zvanične distribucije dodatka.
-
Maliciozni softver je omogućio udaljeno izvršavanje koda, eksfiltraciju podataka i uporan pristup putem backdoor-a koristeći funkcije poput
update_entry_detail()ilist_sections(). -
Maliciozni domen (gravityapi.org) je ugašen, a razvojni tim je izdao čistu verziju (2.9.13) kako bi spriječili daljnje infekcije.
-
Korisnici bi se trebali odmah ažurirati i pratiti sumnjive aktivnosti, posebno neovlašćene administratorske naloge ili neuobičajene PHP fajlove.
Otkriće i početni odgovor
Bezbjednosni propust prvi su identifikovali istraživači iz Patchstack-a, koji su primili izvještaje o sumnjivim HTTP zahtjevima upućenim nepoznatom domenu, gravityapi.org, koji su poticali iz dodatka GravityForms.
Maliciozni domen registrovan je 8. jula 2025. godine, samo nekoliko dana prije otkrivanja napada, što ukazuje na pažljivo planiranu kampanju.
Početne istrage otkrile su da je kompromitovana verzija dodatka 2.9.12 sadržavala maliciozni softver koji se distribuirao putem zvaničnih kanala, uključujući ručno preuzimanje i instalacije putem Composera.
Međutim, napad je imao ograničen vremenski okvir, budući da je RocketGenius, razvojni tim GravityForms-a, brzo reagovao uklanjanjem malicioznog koda iz novih preuzimanja.
Kompanija je potvrdila da provodi temeljitu istragu propusta, a do 7. jula 2025. godine izdala je verziju 2.9.13 kako bi osigurala da korisnici mogu bezbjedno ažurirati bez prisustva backdoor-a.
Dodatno, registar domena Namecheap suspendovao je domen gravityapi.org kako bi spriječio daljnje eksploatacije.
Detalji napada
Maliciozni softver funkcionisao je kroz dva primarna vektora, oba dizajnirana da pruže napadačima potpunu kontrolu nad zaraženim WordPress instalacijama.
Prva metoda uključivala je malicioznu funkciju nazvanu update_entry_detail() ugrađenu u fajl common.php dodatka, koja se automatski izvršavala kad god je dodatak bio aktivan.
Ova funkcija prikupljala je opsežne sistemske informacije sa zaraženih lokacija, uključujući verziju WordPress-a, aktivne dodatke, broj korisnika i serverske detalje, te te podatke prenosila na domen pod kontrolom napadača.
Odgovor sa malicioznog servera sadržavao je base64 kodirane payload-e koji su automatski pohranjivani u fajl sistem zaražene lokacije, stvarajući trajne backdoor-ove.
Drugi vektor napada koristio je funkciju pod nazivom list_sections() koja je kreirala sofisticiran backdoor sistem koji je zahtijevao specifičan API token za pristup. Ovaj backdoor je napadačima pružio opsežne mogućnosti:
-
Kreiranje administratorskih naloga s punim privilegijama.
-
Izvršavanje proizvoljnog PHP koda putem
eval()funkcija. -
Postavljanje malicioznih fajlova na server.
-
Listanje i brisanje postojećih korisničkih naloga.
-
Izvršavanje potpunih directory traversal napada.
-
Održavanje trajnog pristupa čak i nakon otkrivanja.
Maliciozni softver bio je posebno opasan jer je mogao izvršavati proizvoljni PHP kod putem eval() funkcija, dajući napadačima potpunu kontrolu nad zaraženim veb lokacijama.
Backdoor je takođe uključivao funkcionalnost za kreiranje novih administratorskih naloga, efektivno osiguravajući trajni pristup čak i ako je početna kompromitacija otkrivena.
Ublažavanje i bezbjednosne mjere
Iako je puni obim napada još uvijek pod istragom, preliminarna procjena sugeriše da infekcija nije bila široko rasprostranjena, vjerovatno zbog kratkog vremenskog okvira tokom kojeg je maliciozna verzija bila dostupna.
Glavne veb hosting kompanije počele su skenirati svoje servere u potrazi za indikatorima kompromitacije, a rezultati ukazuju na ograničenu distribuciju.
Napad naglašava kritične ranjivosti u lancima snabdijevanja softverom, gdje se čak i povjerljivi izvori mogu kompromitovati.
Sofisticirana priroda malicioznog softvera, sa svojim višestrukim backdoor-ovima i mogućnostima opsežnog sistemskog pristupa, demonstrira napredne tehnike koje koriste moderni hakeri.
Bezbjednosne firme identifikovale su nekoliko indikatora kompromitacije, uključujući sumnjive IP adrese (185.193.89.19 i 193.160.101.6), maliciozne fajlove (bookmark-canonical.php i block-caching.php) i specifični API token koji koristi backdoor sistem.
Organizacijama koje koriste GravityForms savjetuje se da odmah ažuriraju na verziju 2.9.13 ili noviju, izvrše temeljite bezbjednosne skenove svojih WordPress instalacija i prate bilo kakve neovlašćene administratorske naloge ili sumnjive izmjene fajlova.
Ovaj incident podcrtava važnost održavanja robusnog bezbjednosnog nadzora i potrebu za poboljšanim mjerama bezbjednosti lanca snabdijevanja u ekosistemu razvoja softvera.
Indikatori kompromitacije (IoCs):
| Tip | Indikator / Detalj | Napomene |
|---|---|---|
| IP Adresa | 185.193.89.19 | Potencijalna maliciozna IP |
| IP Adresa | 193.160.101.6 | Potencijalna maliciozna IP |
| Domen | gravityapi.org | Povezan sa kompromitacijom |
| Domen | gravityapi.io | Povezan sa kompromitacijom |
| Putanja fajla | gravityforms/common.php | Tražiti gravityapi.org i funkciju update_entry_detail |
| Putanja fajla | includes/settings/class-settings.php | Tražiti funkciju list_sections |
| Putanja fajla | wp-includes/bookmark-canonical.php | Sumnjiv fajl |
| Putanja fajla | wp-includes/block-caching.php | Sumnjiv fajl |
| Hash/String | Cx3VGSwAHkB9yzIL9Qi48IFHwKm4sQ6Te5odNtBYu6Asb9JX06KYAWmrfPtG1eP3 | Mogući hash fajla, potpis malicioznog softvera ili jedinstveni identifikator |
