Patchstackは7月11日(現地時間)、「Malware Found in Official GravityForms Plugin Indicating Supply Chain Breach - Patchstack」において、WordPressのカスタムフォームビルダープラグイン「Gravity Forms」からマルウェアが発見されたと報じた。

本稿執筆時点において、詳細は調査中だが、標的型サプライチェーン攻撃によりマルウェアに感染した可能性があるという。

  • Malware Found in Official GravityForms Plugin Indicating Supply Chain Breach - Patchstack

    Malware Found in Official GravityForms Plugin Indicating Supply Chain Breach - Patchstack

マルウェアが含まれるプラグイン

マルウェアが含まれるとされる製品およびバージョンは次のとおり。

  • Gravity Forms バージョン2.9.12

マルウェアを駆除したプラグイン

マルウェアを駆除したとされるプラグインおよびバージョンは次のとおり。

  • Gravity Forms バージョン2.9.13

影響と対策

カスタムフォームビルダープラグイン「Gravity Forms」は数千サイトに採用のある有料プラグインとされる。Patchstackによると、マルウェアは7月11日配信のバージョン2.9.12に感染し、その後同バージョンから削除されたという。

マルウェアはコマンド&コントロール(C2: Command and Control)サーバの「gravityapi[.]org」にHTTPリクエストを送信し、攻撃者に複数の機能を提供すると見られる。追加のペイロードを含めた機能の一覧は次のとおり。

  • Webサイト、WordPress、PHPに関する情報の窃取
  • 任意のファイルのアップロード
  • リモートコード実行(RCE: Remote Code Execution)
  • 管理者Roleを持つアカウントの作成
  • WordPressのユーザーアカウント(ID、ユーザー名、メールアドレス、表示名)を一覧表示
  • WordPressのユーザーアカウントをすべて削除
  • ファイルとディレクトリの一覧表示

マルウェアに感染したプラグインの配布は特定の時間帯に限られ、影響も限定的とみられる。しかしながら影響を確実に回避するため、当該プラグインを利用しているWordPressサイトの管理者にはバージョン2.9.13以降へのアップデートが推奨されている。

また、Patchstackは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じてセキュリティ対策に活用することが望まれている。