WordPress-plug-in Gravity Forms waarschuwt voor backdoor in packages

In dit artikel:

De populaire WordPress-plug-in Gravity Forms, actief op meer dan een miljoen websites, is getroffen door een beveiligingsincident waarbij een backdoor in twee installatie-pakketten is geplaatst. Deze besmette pakketten, versies 2.9.11.1 en 2.9.12, werden op 9 en 10 juli via de officiële website aangeboden. De backdoor stelde aanvallers in staat om via een aangemaakt admin-account volledige controle over getroffen sites te verkrijgen. De besmetting trad alleen op bij handmatig gedownloade pakketten of bij een composer install van versie 2.9.11.1, niet bij reguliere updates.

Ontwikkelaar RocketGenius heeft tools beschikbaar gesteld om beheerders te helpen geïnfecteerde sites op te sporen, maar maakte niet bekend hoe de besmette versies via hun officiële kanaal konden worden verspreid en hoeveel websites precies zijn geraakt. Inmiddels zijn schone versies van de plug-in uitgebracht. Ook is de domeinnaam waar de backdoor mee communiceerde offline gehaald door registrar Namecheap. Volgens securitybedrijf Patchstack blijkt de backdoor verbinding te maken met meerdere IP-adressen, wat wijst op een geavanceerde aanvalsinfrastructuur. Dit incident benadrukt het belang van waakzaamheid bij het downloaden van plug-ins, zelfs via officiële bronnen.