Bilgisayar korsanları, kötü amaçlı kod enjeksiyonu ile WordPress GravityForms eklentisini tehlikeye atar

Bilgisayar korsanları, resmi GravityForms.com alanından indirilen sürümlere kötü amaçlı kod enjekte ederek popüler WordPress eklentisi yerçekimi formlarını hedefledi.

İhlal ilk olarak, güvenlik araştırmacılarının 8 Temmuz 2025’te kaydedilen Gravityapi.org alanına şüpheli HTTP taleplerini fark ettikleri 11 Temmuz 2025’te bildirildi.

Şimdi kayıt şirketi Namecheap tarafından askıya alınan bu alan adı, kötü amaçlı yazılım için bir komut ve kontrol sunucusu olarak hizmet etti.

Saldırı Detayları

Uzaklaştırılmış eklenti, özellikle sürüm 2.9.12, URL’ler, WordPress sürümleri, PHP detayları, aktif eklentiler ve kullanıcı sayımları gibi hassas site verilerini açıklayan ve kötü amaçlı uç noktaya gönderme isteği yoluyla gönderen arka kapıları içermektedir.

Bir yanıt aldıktan sonra, kod kodunu çözecek ve WP-Incluges/Bookmark-canonical.php gibi geri çekilmiş bir dosya, sunucuya, meşru WordPress içerik yönetimi araçları olarak maskelenerek yazacaktır.

Bu dosya, kimlik doğrulanmamış istekler tarafından tetiklenen değerlendirme işlevleri aracılığıyla uzaktan kod yürütme özellikleri içeriyordu ve saldırganların yıkıcı etkileri olan yayınları, medya, widget ve temaları manipüle etmesine izin verdi.

Kötü amaçlı yazılımların yaratıcılığı, yerçekimi formlarının temel işlevleriyle entegrasyonunda yatmaktadır. Örneğin, GravityForms/Common.php’deki Update_entry_Detail işlevi, eklenti etkin olduğunda çalışmasını sağlayarak eklentiler_loaded eylemine bağlanır.

Kapsamlı site zekası toplar ve sunucunun yanıtına dayanarak ek yükler dağıtır.

Başka bir vektör, list_section işlevi/settings/class-settings.php, nocial.php aracılığıyla erişilebilir. Base64 kodlu formüller, dosya yükleme, kullanıcıları listeleme veya silme ve hatta sunucu dizinlerine göz atma.

Bu çok fonksiyonlu arka kapı, enfekte edilmiş siteleri saldırganlar için tamamen kontrol edilebilir varlıklara dönüştürüyor.

İlginç bir şekilde, enfeksiyon sınırlı görünmektedir, çünkü büyük barındırma sağlayıcıları tarafından yapılan taramalar, roketgenius personeline göre, muhtemelen manuel ve besteci kurulumlarını etkileyen lekeli indirmelerin kısa kullanılabilirliği nedeniyle yaygın olmadığını gösteriyor.

Azaltma çabaları

Swift eylemi keşfi izledi. 11 Temmuz 2025’e kadar, 12:07 UTC’de Gravity Forms, kötü amaçlı yazılım ihlaliyle ilgili bir soruşturmayı doğruladı ve sonraki indirmelerden kötü amaçlı kodun kaldırılması.

Güncellemeler hızla devam etti: 12:38 UTC’de PatchTack savunmasız ve yamalı versiyonlar elde etti ve sorunun izole edildiğini doğruladı. 14:10 UTC, sürüm 2.9.13 güvenli bir güncelleme olarak yayınlandı ve daha fazla sömürü önlemek için Gravityapi.org çevrimdışı alındı.

Bu olay, WordPress ekosistemindeki hedeflenen tedarik zinciri uzlaşmalarının bir modelini vurgulayarak Groundhogg eklentisine benzer bir saldırı yansıtıyor.

Rapora göre, PatchTack gibi güvenlik ekipleri bu tehditleri izleyerek eklenti yönetiminde uyanıklık ihtiyacını vurguluyor.

Site sahipleri için acil adımlar çok önemlidir: şüpheli dosyaların veya işlevlerin varlığını kontrol edin, 2.9.13’e güncelleyin ve 193.160.101.6 gibi IP adreslerinden beklenmedik istekler gibi göstergeler için, kullanıcı ajanlarını siteler arasında ping arka kapı uç noktalarına takmıştır.

Saldırının kapsamı var gibi görünse de, üçüncü taraf eklentilerinin risklerinin ve güvenli indirme uygulamalarının önemini vurgulamaktadır.

Bu gelişen tehditle ilgilenmek sadece bireysel siteleri korumakla kalmaz, aynı zamanda daha geniş WordPress topluluğunu sofistike siber rakiplere karşı güçlendirir.

Uzlaşma Göstergeleri (IOCS)

Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.