WordPress İçerik Yönetim Sistemi (CMS) için yerçekimi formlarının geliştiricisi, enfekte olmuş web sitelerine harici erişim sağlayabilen iki temel eklenti paketini etkileyen bir kötü amaçlı yazılım uzlaşması hakkında bir uyarı yayınladı.
Güvenlik olayı bildiriminde, Amerika Birleşik Devletleri merkezli Rocketgenius tarafından geliştirilen Gravity Forms, kötü amaçlı yazılımların tehlikeye atılan paketi güncelleme girişimlerini engelleyeceğini söyledi.
Ayrıca, yürütülürse, bir kurbanın sistemine idari bir hesap eklemeye çalışacak harici bir yükü indirmek için harici bir sunucuya ulaşmaya çalışacaktır.
Gravity Forms, “Bu, uzaktan erişimi genişletmek, ek yetkisiz keyfi kod enjeksiyonları, mevcut yönetici hesaplarına yönelik ek yetkisiz rasgele kod enjeksiyonları ve depolanan WordPress verilerine erişim gibi bir dizi olası kötü niyetli işlem açar.”
Kötü amaçlı kod, roketgenius/yerçekimi formlarına bağlı olmayan tek tip bir kaynak bulucu bağlantısı olan gravityapi.org’a bir referans içeriyordu.
Gravityapi.org için alan adı kaydı çoğunlukla düzeltilmiş olsa da, saldırgan İzlanda’nın başkenti Reykjavik’teki bir konum için iletişim bilgilerini kullanmıştır.
Kullanıcılar, aşağıdaki üç bağlantının her birini ziyaret ederek sitelerinin enfekte olup olmadığını tespit edebilir:
{your_domain} /wp-content/plugins/gravityforms/notification.php?gf_api_token=cx3vgswahkb9yzil9qi48ifhwkm4sq6te5odntbyu6asb9jx06kyawmrfptg1ep3&ction=ping
{your_domain} /wp-content/plugins/gravityforms_2.9.11.1/notifikation.php?gf_api_token=cx3vgswahkbb9yzil
{your_domain} /wp-content/plugins/gravityforms_2.9.12/notification.php?gf_api_token
Yukarıdaki bağlantılardan herhangi biri geri dönerse, kullanıcıların sitelerini güvence altına almak için harekete geçmeleri tavsiye edilir:
UYARI: tanımsız dizi anahtarı “gf_api_action”…
Gravity Forms, kullanıcıların WordPress web sitelerini en sağlam onay olarak 9 Temmuz ABD Zamanından önce en son yedeklemesine geri yüklemelerini önerir.
Gravity Forms, 2.9.11.1 ve 2.9.12 paketlerinin enfekte olmuş versiyonlarını buldu, ancak 9-10 Temmuz arasında sadece sınırlı sayıda etkilendi.
Ayrıca, paketlerin kullanıcıların yerçekimi formları hesap sayfası aracılığıyla manuel olarak indirilmesi gerekiyordu.
Şirket, kaç tane paketin tehlikeye atıldığını söylemedi, ancak başka hiçbir indirilebilir paketin etkilenmediğini taradığını ve doğruladığını söyledi.
İndirilebilir paketleri depolamak için kullanılan tüm hizmetler için anahtarlar ve kimlik bilgileri, bunlara yetkisiz erişimi kapatmak için yerçekimi formları tarafından güncellenmiştir.
Gravity Forms, adından da anlaşılacağı gibi, veri yakalama için bir form oluşturucu olan WordPress için ücretli bir eklentidir.