Auf der offiziellen Webseite des WordPress-Plugins GravityForms wurden infizierte Fassungen zum Download angeboten, was zu einer alarmierenden Sicherheitsbedrohung f\u00fchrte. Eindringlinge hatten die offizielle Seite genutzt, um eine manipulierte Version des Plugins, das von \u00fcber einer Million Websites installiert ist, mit einer Hintert\u00fcr zu verbreiten. Dieser Befall hatte das Potenzial, WordPress-Instanzen vollst\u00e4ndig zu kompromittieren. <\/p>\n
Der Entdecker des infizierten Plugins bemerkte w\u00e4hrend des Download-Vorgangs von GravityForms an die verd\u00e4chtige Domain gravityapi.com ungew\u00f6hnliche HTTP-Anfragen. Diese Domain war erst kurz zuvor registriert worden und sorgte f\u00fcr Alarmglocken beim Analysten, da die Anfrage langsamer ausfiel als erwartet. <\/p>\n
Es wurde eine Untersuchung eingeleitet, bei der verschiedene Webhoster nach Indizien f\u00fcr eine Infektion (IOCs) durchforstet wurden. Die Ergebnisse zeigten, dass die Ausbreitung des mit einer Backdoor versehenen Plugins begrenzt war und nur wenige Opfer betroffen waren, da es nur kurze Zeit verf\u00fcgbar gewesen zu sein scheint. Patchstack, das Unternehmen hinter der Entdeckung, identifizierte zudem ein weiteres Plugin namens Groundhog als Opfer dieser komplexeren Supply-Chain-Attacke, ohne jedoch genauere Details zu den Hintergr\u00fcnden und Mechanismen dieses Angriffs darzulegen. <\/p>\n
Die implementierte Hintert\u00fcr im GravityForms-Plugin erm\u00f6glichte Angreifern weitreichende Aktionen: Sie konnten neue Administratorkonten anlegen, beliebige Dateien auf den Servern hochladen und sogar Nutzerkonten l\u00f6schen \u2013 ein gef\u00e4hrliches Szenario f\u00fcr betroffene Websites. W\u00e4hrend der Untersuchung wurden Aktivit\u00e4ten beobachtet, bei denen Angreifer verschl\u00fcsselte Aufforderungen an einen Parameter namens gravityapi.org sendeten, was weitere Hinweise auf die manipulierte Infrastruktur lieferte. <\/p>\n
Die Entwickler von GravityForms reagierten schnell und ersetzten die infizierte Version 2.9.12 durch eine saubere Variante, zun\u00e4chst ohne Versions\u00e4nderung. Am Ende des Tages wurde jedoch Version 2.9.13 mit der entsprechenden Aktualisierung ver\u00f6ffentlicht. Gleichzeitig schaltete der Domain-Registrar Namecheap die Domain gravityapi.org still und brach so den Zugang zu dieser zentralen Komponente des Angriffs. <\/p>\n
Diese Vorf\u00e4lle verdeutlichen erneut die anhaltende Bedrohung durch gezielte Angriffe auf Software-L\u00f6sungen und unterstreichen die Notwendigkeit st\u00e4ndiger Vigilanz, regelm\u00e4\u00dfiger Updates und Sicherheitsma\u00dfnahmen f\u00fcr WordPress-Websites. <\/p>\n
Parallel dazu hatte sich in der Woche zuvor eine Schwachstelle im Plugin SureForms, ebenfalls weit verbreitet mit \u00fcber 200.000 Installationen, aufgedeckt, die \u00e4hnliche Kompromittierungsrisiken f\u00fcr WordPress-Systeme birgt. Diese Ereignisse zeigen deutlich das zunehmende Risiko von Supply-Chain-Attacken und unterstreichen die Wichtigkeit einer umfassenden Sicherheitsstrategie im Umgang mit Open-Source-Software.<\/p>\n
Schlagw\u00f6rter: GravityForms + gravityapi.org + gravityapi.com<\/p>\n","protected":false},"excerpt":{"rendered":"
Auf der offiziellen Webseite des WordPress-Plugins GravityForms wurden infizierte Fassungen zum Download angeboten, was zu einer alarmierenden Sicherheitsbedrohung f\u00fchrte. Eindringlinge hatten die offizielle Seite genutzt, um eine manipulierte Version des Plugins, das von \u00fcber einer Million Websites installiert ist, mit einer Hintert\u00fcr zu verbreiten. Dieser Befall hatte das Potenzial, WordPress-Instanzen...<\/p>\n","protected":false},"author":4,"featured_media":13687,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-13688","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13688","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13688"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13688\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/13687"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13688"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13688"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13688"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}