Popüler WordPress eklentisi yerçekimi formları, resmi web sitesinden manuel montajcıların bir arka kapıya bulaştığı bir tedarik zinciri saldırısında tehlikeye atılmıştır.
Gravity Forms, iletişim, ödeme ve diğer çevrimiçi formlar oluşturmak için premium bir eklentidir. Satıcının istatistik verilerine dayanarak, ürün yaklaşık bir milyon web sitesinde, bazıları Airbnb, Nike, ESPN, UNICEF, Google ve Yale gibi tanınmış kuruluşlara aittir.
Sunucuda uzaktan kod yürütme
WordPress güvenlik firması PatchTack, bugün daha önce Gravity Forms web sitesinden indirilen eklentiler tarafından oluşturulan şüpheli istekler hakkında bir rapor aldığını söylüyor.
Eklentiyi inceledikten sonra PatchTack, satıcının web sitesinden indirilen kötü amaçlı bir dosya (GravityForms/Common.php) aldığını doğruladı. Daha yakından inceleme, dosyanın “gravityapi.org/sites” adresindeki şüpheli bir alana bir isteği başlattığını ortaya koydu.
Daha fazla analiz üzerine araştırmacılar, eklentinin URL, yönetici yolu, tema, eklentiler ve PHP/WordPress sürümleri dahil olmak üzere kapsamlı site meta verilerini topladığını ve saldırganlara pes ettiğini buldular.
Sunucu yanıtı, “WP-Incluges/Bookmark-Canonical.php” olarak kaydedilen Base64 kodlu PHP kötü amaçlı yazılım içerir.
Kötü amaçlı yazılım, ‘handle_posts ()’, ” handle_media (), ” handle_widgets () gibi işlevleri kullanarak kimlik doğrulaması yapmaya gerek kalmadan uzaktan kod yürütmeyi sağlayan WordPress içerik yönetimi araçları olarak maskelenir.
PatchPack, “Bu işlevlerin tümü __Construct -> init_content_management -> handle_requests -> process_request işlevinden çağrılabilir. Bu nedenle, temel olarak kimlik doğrulanmamış bir kullanıcı tarafından tetiklenebilir” diye açıklıyor.
Araştırmacılar, “Tüm işlevlerden, kullanıcı tarafından sağlanan giriş ile bir değerlendirme çağrısı gerçekleştirecek ve sunucuda uzaktan kod yürütülmesine neden olacak” dedi.
Gravity Forms’ın arkasındaki geliştirici olan RocketGenius, sorundan haberdar edildi ve bir personel PatchTack’e, kötü amaçlı yazılımın yalnızca manuel indirmeleri ve eklentinin besteci kurulumunu etkilediğini söyledi.
PatchTack, dün başlayan yerçekimi formlarını indiren herkesin temiz bir sürüm alarak eklentiyi yeniden yüklemesini önerir. Yöneticiler ayrıca herhangi bir enfeksiyon belirtisi için web sitelerini taramalıdır.
PatchTack’e göre, bu işlemi kolaylaştıran alanlar 8 Temmuz’da kaydedildi.
Bilgisayar korsanları yönetici hesabı ekler
Rocketgenius, olayın bir sonrası ölüm sonrası, 10-11 Temmuz arasında manuel indirme için sadece yerçekimi 2.9.11.1 ve 2.9.12’nin tehlikeye atıldığını doğrulayan bir ölüm sonrası yayınladı.
Yöneticiler, iki tarihten herhangi birinde 2.9.11 sürümleri için bir besteci kurulumu çalıştırırsa, ürünün enfekte olmuş bir kopyasını aldılar.
“Lisanslama, otomatik güncellemeler ve yerçekimi formları eklentisinden başlatılan eklentilerin kurulumu asla tehlikeye atılmadı. Bu hizmet aracılığıyla yönetilen tüm paket güncellemeleri RocketGenius
RocketGenius, kötü amaçlı kodun güncelleme denemelerini engellediğini, ek yükleri almak için harici bir sunucu ile temasa geçtiğini ve saldırgana web sitesinin tam kontrolünü sağlayan bir yönetici hesabı eklediğini söylüyor.
Geliştirici ayrıca, web sitelerinde belirli bağlantıları izleyerek yöneticilere olası enfeksiyonu kontrol etmeleri için yöntemler sağlar.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.