Usuarios de WordPress, ¡cuidado!
Un plugin muy utilizado de WordPress estuvo distribuyendo malware durante varios días.
Gravity Forms, un popular complemento de WordPress con más de un millón de usuarios, sufrió un ataque a su cadena de suministro que intentó desplegar malware a sus clientes y tomar el control de sus sitios web. Investigadores de seguridad de PatchStack identificaron que se había producido una infiltración en el sitio web de Gravity Forms, comprometiendo el archivo de instalación del complemento.
Durante los días 10 y 11 de julio, los usuarios podían descargar las versiones 2.9.11.1 y 2.9.12 de Gravity Forms, que contenían archivos maliciosos diseñados para recopilar un amplio espectro de metadatos del sitio. Este malware permitía realizar ataques de ejecución remota de código (RCE). El software malicioso también bloqueaba cualquier intento de actualizar el complemento, se comunicaba con un servidor externo para desplegar cargas adicionales y creaba una cuenta administrativa que otorgaba a los atacantes un control total sobre los sitios comprometidos.
Gravity Forms es un complemento premium de WordPress que permite a los usuarios crear formularios a través de una interfaz de arrastrar y soltar, y se integra con diversos servicios de terceros, lo que lo hace muy popular para formularios de contacto, encuestas, formularios de pago y más.
La empresa desarrolladora, RocketGenius, tras recibir notificaciones sobre el ataque, realizó una investigación y concluyó que el malware solo afectó a las descargas manuales y a las instalaciones realizadas mediante Composer. Detalló que el servicio Gravity API, encargado de manejar las licencias, las actualizaciones automáticas y la instalación de complementos desde el propio Gravity Forms, no había sido comprometido, por lo que las actualizaciones de paquetes gestionadas a través de ese servicio permanecieron intactas.
Por esta razón, se recomendó a todos los usuarios que descargaron Gravity Forms directamente desde el sitio de RocketGenius en las fechas mencionadas que eliminaran el complemento y lo reinstalaran con una versión limpia. La primera versión sin malware del complemento es la 2.9.13, que ya se encuentra disponible para su descarga.
