WordPress表單外掛Gravity Forms疑遭供應鏈攻擊，被植入後門程式

近年來使用WordPress架設而成的網站很多，此內容管理平臺豐富的外掛程式，也成為駭客鎖定的目標，但大多數事故是利用外掛程式的資安漏洞來攻擊網站，如今有一起事故引起資安業者注意，因為駭客攻擊開發外掛程式的軟體公司得逞，從而在外掛程式植入惡意軟體。

例如，由軟體業者RocketGenius打造的表單外掛程式Gravity Forms，上週就出現這類資安事故。事件的揭露的過程，是有人在7月10日從官方網域gravityforms.com下載此外掛程式，卻發現裡面的gravityforms/common.php檔案有問題，會向gravityapi.org網域發出惡意HTTP請求，通報此事的人士之所以察覺異狀，是因為他們透過監控系統看到速度極為緩慢的請求。他們通報RocketGenius並未及時得到回應，於是找上了資安業者Patchstack尋求協助，才使得這起供應鏈攻擊事故曝光。

對此，RocketGenius也在7月11日發布公告證實此事，並表示用戶若是在7月9日至10日期間，透過他們的Gravity Forms帳號手動下載2.9.11.1或2.9.12版外掛程式，就有可能下載到有問題的檔案。該公司也說明他們的因應措施。

例如：火速提供Gravity Forms 2.9.13版下載，提供下載此套件服務的全部金鑰和憑證也都更新，同時，RocketGenius通報已知主機的網域濫用與惡意主機安全團隊，並與CVE弱點通報組織溝通，協助事件的公布，此外，他們通知網域註冊商和網站主機，針對惡意軟體所使用的IP位址和相關網域URL採取行動，並且提供用戶檢測網站的方法，著手清查有那些用戶受害並協助處理。

接獲通報的Patchstack解析有問題的common.php檔案，發現其中的特定功能會向https://gravityapi.org/sites發出POST請求。乍看之下，上述網域看起來不像是刻意拼寫錯誤的惡意網域，但不尋常的是，這個網域剛在7月8日註冊，顯然不是常態性的網域名稱。

究竟此檔案發出的HTTP請求又有那些不尋常之處？此請求會回傳網站的系統資訊，包含網站的URL、WordPress版本、PHP版本等資料，而對於遠端網站的回應，竟然是透過Base64演算法處理，這種怪異的流程，看起來像是攻擊者在進行偵察，然後試圖在受害主機下載作案工具。果不其然，Patchstack將回對的內容進行解密，攻擊者下載了冒充內容管理工具的作案工具，而有機會遠端在網站執行任意程式碼。

而對於作案工具包的用途，大多與WordPress的使用者帳號管理有關，其中最受到矚目的部分，是能夠建立具有管理員權限的使用者帳號，此外，攻擊者還能列出使用者名單，或是刪除帳號。再者，此工具包也能讓攻擊者上傳任意檔案，或是執行伺服器上的任何檔案、列出資料夾等工作。

針對此事，Patchstack通報多家大型主機代管業者，這些業者根據入侵指標（IOC）進行掃描，初步確認並未出現大規模感染惡意程式的現象。Patchstack推測，帶有後門的外掛程式出現的時間相當短暫，僅向少量使用者散布。後續RocketGenius也介入調查此事，並向Patchstack表示，僅有手動下載與透過編輯器安裝的用戶會受到影響。網域註冊商Namecheap也停用網域名稱gravityapi.org，以遏止後門程式的災情。