FEHLER!

Schockierende Sicherheitsbedrohung: Infiziertes GravityForms-Plugin gefährdet Millionen Websites

Auf der offiziellen Webseite des WordPress-Plugins GravityForms wurden infizierte Fassungen zum Download angeboten, was zu einer alarmierenden Sicherheitsbedrohung führte. Eindringlinge hatten die offizielle Seite genutzt, um eine manipulierte Version des Plugins, das von über einer Million Websites installiert ist, mit einer Hintertür zu verbreiten. Dieser Befall hatte das Potenzial, WordPress-Instanzen vollständig zu kompromittieren.

Der Entdecker des infizierten Plugins bemerkte während des Download-Vorgangs von GravityForms an die verdächtige Domain gravityapi.com ungewöhnliche HTTP-Anfragen. Diese Domain war erst kurz zuvor registriert worden und sorgte für Alarmglocken beim Analysten, da die Anfrage langsamer ausfiel als erwartet.

Es wurde eine Untersuchung eingeleitet, bei der verschiedene Webhoster nach Indizien für eine Infektion (IOCs) durchforstet wurden. Die Ergebnisse zeigten, dass die Ausbreitung des mit einer Backdoor versehenen Plugins begrenzt war und nur wenige Opfer betroffen waren, da es nur kurze Zeit verfügbar gewesen zu sein scheint. Patchstack, das Unternehmen hinter der Entdeckung, identifizierte zudem ein weiteres Plugin namens Groundhog als Opfer dieser komplexeren Supply-Chain-Attacke, ohne jedoch genauere Details zu den Hintergründen und Mechanismen dieses Angriffs darzulegen.

Die implementierte Hintertür im GravityForms-Plugin ermöglichte Angreifern weitreichende Aktionen: Sie konnten neue Administratorkonten anlegen, beliebige Dateien auf den Servern hochladen und sogar Nutzerkonten löschen – ein gefährliches Szenario für betroffene Websites. Während der Untersuchung wurden Aktivitäten beobachtet, bei denen Angreifer verschlüsselte Aufforderungen an einen Parameter namens gravityapi.org sendeten, was weitere Hinweise auf die manipulierte Infrastruktur lieferte.

Die Entwickler von GravityForms reagierten schnell und ersetzten die infizierte Version 2.9.12 durch eine saubere Variante, zunächst ohne Versionsänderung. Am Ende des Tages wurde jedoch Version 2.9.13 mit der entsprechenden Aktualisierung veröffentlicht. Gleichzeitig schaltete der Domain-Registrar Namecheap die Domain gravityapi.org still und brach so den Zugang zu dieser zentralen Komponente des Angriffs.

Diese Vorfälle verdeutlichen erneut die anhaltende Bedrohung durch gezielte Angriffe auf Software-Lösungen und unterstreichen die Notwendigkeit ständiger Vigilanz, regelmäßiger Updates und Sicherheitsmaßnahmen für WordPress-Websites.

Parallel dazu hatte sich in der Woche zuvor eine Schwachstelle im Plugin SureForms, ebenfalls weit verbreitet mit über 200.000 Installationen, aufgedeckt, die ähnliche Kompromittierungsrisiken für WordPress-Systeme birgt. Diese Ereignisse zeigen deutlich das zunehmende Risiko von Supply-Chain-Attacken und unterstreichen die Wichtigkeit einer umfassenden Sicherheitsstrategie im Umgang mit Open-Source-Software.

Schlagwörter: GravityForms + gravityapi.org + gravityapi.com

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 14. Juli 2025