Patchstackは7月11日(現地時間)、「Malware Found in Official GravityForms Plugin Indicating Supply Chain Breach - Patchstack」において、WordPressのカスタムフォームビルダープラグイン「Gravity Forms」からマルウェアが発見されたと報じた。
本稿執筆時点において、詳細は調査中だが、標的型サプライチェーン攻撃によりマルウェアに感染した可能性があるという。
マルウェアが含まれるプラグイン
マルウェアが含まれるとされる製品およびバージョンは次のとおり。
- Gravity Forms バージョン2.9.12
マルウェアを駆除したプラグイン
マルウェアを駆除したとされるプラグインおよびバージョンは次のとおり。
- Gravity Forms バージョン2.9.13
影響と対策
カスタムフォームビルダープラグイン「Gravity Forms」は数千サイトに採用のある有料プラグインとされる。Patchstackによると、マルウェアは7月11日配信のバージョン2.9.12に感染し、その後同バージョンから削除されたという。
マルウェアはコマンド&コントロール(C2: Command and Control)サーバの「gravityapi[.]org」にHTTPリクエストを送信し、攻撃者に複数の機能を提供すると見られる。追加のペイロードを含めた機能の一覧は次のとおり。
- Webサイト、WordPress、PHPに関する情報の窃取
- 任意のファイルのアップロード
- リモートコード実行(RCE: Remote Code Execution)
- 管理者Roleを持つアカウントの作成
- WordPressのユーザーアカウント(ID、ユーザー名、メールアドレス、表示名)を一覧表示
- WordPressのユーザーアカウントをすべて削除
- ファイルとディレクトリの一覧表示
マルウェアに感染したプラグインの配布は特定の時間帯に限られ、影響も限定的とみられる。しかしながら影響を確実に回避するため、当該プラグインを利用しているWordPressサイトの管理者にはバージョン2.9.13以降へのアップデートが推奨されている。
また、Patchstackは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じてセキュリティ対策に活用することが望まれている。