Sofistike bir tedarik zinciri saldırısı, resmi GravityForms WordPress eklentisini tehlikeye attı ve saldırganların etkilenen web sitelerinde uzaktan kod yürütülmesini sağlayan kötü amaçlı kod enjekte etmesini sağladı.
11 Temmuz 2025’te keşfedilen saldırı, WordPress’in en popüler form oluşturma eklentilerinden birini etkileyen önemli bir güvenlik ihlalini temsil eder ve kötü amaçlı yazılım doğrudan resmi GravityForms.com etki alanı aracılığıyla dağıtılır.
Key Takeaways
1. A sophisticated supply chain attack compromised GravityForms version 2.9.12, injecting malware via the official plugin distribution.
2. The malware enabled remote code execution, data exfiltration, and persistent backdoor access using functions likeupdate_entry_detail()andlist_sections().
3. The malicious domain (gravityapi.org) was shut down, and the developer released a clean version (2.9.13) to stop further infections.
4. Users should update immediately and monitor for suspicious activity, especially unauthorized admin accounts or unusual PHP files.
GravityForms eklentisi hacklendi
Güvenlik ihlali ilk olarak PatchTack’teki araştırmacılar tarafından, bilinmeyen bir alan Gravityapi.org’a GravityForms eklentisinden kaynaklanan şüpheli HTTP istekleri raporları alan araştırmacılar tarafından tanımlandı.
Kötü niyetli alan, saldırının keşfedilmesinden sadece günler önce 8 Temmuz 2025’te kaydedildi ve dikkatle düzenlenmiş bir kampanya olduğunu düşündürdü.
İlk araştırmalar, tehlikeye atılan eklenti sürüm 2.9.12’nin manuel indirmeler ve besteci kurulumları da dahil olmak üzere resmi kanallar aracılığıyla dağıtılan kötü amaçlı yazılım içerdiğini ortaya koydu.
Bununla birlikte, Saldırı, GravityForms geliştiricisi Rocketgenius’un yeni indirmelerden kötü niyetli kodu kaldırmak için hızla yanıt verdiği için sınırlı bir fırsat penceresine sahip gibi görünüyordu.
Şirket, ihlal hakkında kapsamlı bir soruşturma yürüttüklerini doğruladı ve 7 Temmuz 2025’e kadar, kullanıcıların arka kapı mevcut olmadan güvenli bir şekilde güncellenebilmelerini sağlamak için 2.9.13 sürümünü yayınladılar.
Ayrıca, Domain Kayıt Şirketi Namecheap, daha fazla sömürü önlemek için Gravityapi.org alanını askıya aldı.
Kötü amaçlı yazılım, her ikisi de saldırganlara enfekte olmuş WordPress kurulumları üzerinde kapsamlı bir kontrol sağlamak için tasarlanmış iki ana vektörle çalıştı.
İlk yöntem, update_entry_detail() Eklenti etkin olduğunda otomatik olarak yürütülen eklentinin common.php dosyasına gömülü.
Bu işlev, WordPress sürümü, aktif eklentiler, kullanıcı sayımları ve sunucu ayrıntıları dahil olmak üzere enfekte olmuş sitelerden kapsamlı sistem bilgilerini topladı, ardından bu verileri saldırgan kontrolündeki alana iletti.
Kötü amaçlı sunucudan gelen yanıt, enfekte olmuş sitenin dosya sistemine otomatik olarak kaydedilen ve kalıcı arka kapı oluşturan baz64 kodlu yükler içeriyordu.
İkinci saldırı vektörü, list_sections() Bu, erişim için belirli bir API jetonu gerektiren sofistike bir arka kapı sistemi oluşturdu. Bu arka kapı saldırganlara kapsamlı yetenekler sağladı:
- Tam ayrıcalıklarla yönetici hesapları oluşturmak.
- Değer () işlevleri aracılığıyla keyfi PHP kodunun yürütülmesi.
- Sunucu dosya sistemine kötü amaçlı dosyaları yükleme.
- Mevcut kullanıcı hesaplarının listelenmesi ve silinmesi.
- Kapsamlı dizin geçişleri gerçekleştirme.
- Keşiften sonra bile kalıcı erişimi korumak.
Kötü amaçlı yazılım özellikle tehlikeliydi, çünkü değerlendirme () işlevleri aracılığıyla keyfi PHP kodu yürütebilir ve saldırganlara enfekte olmuş web siteleri üzerinde tam kontrol sağlar.
Arka kapı ayrıca, yeni yönetici hesapları oluşturmak için işlevselliği de içeriyordu ve ilk uzlaşma keşfedilse bile sürekli erişim sağladı.
Hafifletme
Saldırının tam kapsamı araştırılmakta olsa da, ön değerlendirmeler, muhtemelen kötü niyetli versiyonun mevcut olduğu kısa zaman dilimi nedeniyle enfeksiyonun yaygın olmadığını göstermektedir.
Büyük web barındırma şirketleri, sınırlı dağıtım olduğunu gösteren sonuçlarla sunucularını uzlaşma göstergeleri için taramaya başladı.
Saldırı, güvenilir kaynakların bile tehlikeye atılabileceği yazılım tedarik zincirlerindeki kritik güvenlik açıklarını vurgulamaktadır.
Kötü amaçlı yazılımın sofistike doğası, çoklu arka kapıları ve kapsamlı sistem erişim yetenekleriyle, modern siber suçlular tarafından kullanılan gelişmiş teknikleri göstermektedir.
Güvenlik firmaları, şüpheli IP adresleri (185.193.89.19 ve 193.160.101.6), kötü amaçlı dosyalar (Bookmark-canonical.php ve blok-caching.php) ve arka kapı sistemi tarafından kullanılan belirli API jetonu dahil olmak üzere çeşitli uzlaşma göstergeleri belirlemiştir.
GravityForms kullanan kuruluşların hemen sürüm 2.9.13 veya üstüne güncelleme yapmaları, WordPress kurulumlarının kapsamlı güvenlik taramalarını yapmaları ve yetkisiz yönetici hesaplarını veya şüpheli dosya değişikliklerini izlemeleri önerilir.
Bu olay, güçlü güvenlik izlemenin sürdürülmesinin öneminin ve yazılım geliştirme ekosisteminde artan tedarik zinciri güvenlik önlemlerine duyulan ihtiyaç olduğunu vurgulamaktadır.
Uzlaşma göstergesi (IOC’ler):
| Tip | Gösterge / detay | Notalar |
|---|---|---|
| IP adresi | 185.193.89.19 | Potansiyel kötü niyetli IP |
| IP adresi | 193.160.101.6 | Potansiyel kötü niyetli IP |
| İhtisas | Gravityapi.org | Uzlaşma ile ilişkili |
| İhtisas | Gravityapi.io | Uzlaşma ile ilişkili |
| Dosya Yolu | GravityForms/Common.php | Aramak gravityapi.org Ve update_entry_detail işlev |
| Dosya Yolu | /Ayarlar/Class-Settings.php içerir | Aramak list_sections işlev |
| Dosya Yolu | WP-Incluges/Bookmark-Canonical.php | Şüpheli dosya |
| Dosya Yolu | WP-Incluges/Block-caching.php | Şüpheli dosya |
| Karma/dize | CX3VGSWAHKB9YZIL9QI48IFHWKM4SQ6TE5ODNTBYU6ASB9JX06KYAWMRFPTG1EP3 | Muhtemelen bir dosya karma, kötü amaçlı yazılım imzası veya benzersiz tanımlayıcı |
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi