Malware in offiziellem GravityForms-Plugin entdeckt – offenbar Supply-Chain-Kompromittierung

 (patchstack.com)
1 Punkte von GN⁺ 2025-07-14 | 1 Kommentare | Auf WhatsApp teilen
  • In der neuesten Version des WordPress-Plugins GravityForms wurde Schadcode entdeckt.
  • Es handelt sich um eine Situation, in der die offizielle Distribution durch eine Supply-Chain-Kompromittierung infiziert wurde.
  • GravityForms wird auf vielen Websites weithin als Form Builder verwendet.
  • Sicherheitsforscher untersuchen derzeit Ausmaß und Gefährlichkeit der Schwachstelle.
  • Für Websites, die dieses Plugin verwenden, wird die Notwendigkeit einer schnellen Prüfung und eines Austauschs betont.

Überblick über die Supply-Chain-Kompromittierung von GravityForms

  • Kürzlich wurde im offiziellen WordPress-Plugin GravityForms Schadcode entdeckt.
  • Der Vorfall gilt als typisches Beispiel für eine Supply-Chain-Kompromittierung.
  • Da die Infektion von einer offiziellen Quelle ausging, ist das Vertrauen sowohl in neue als auch in bestehende Installationen gesunken.

GravityForms und die Sicherheitsauswirkungen

  • GravityForms ist ein populäres Plugin, das auf WordPress-basierten Websites die Erstellung und Verwaltung von Formularen erleichtert.
  • Aufgrund der weiten Verbreitung ist es gut möglich, dass der Schaden einer solchen Supply-Chain-Attacke erheblich ist.
  • Der diesmal eingeschleuste Schadcode kann zu einer Sicherheitsbedrohung für die gesamte Website und die Nutzerdaten werden.

Untersuchung und Reaktion

  • Sicherheitsexperten analysieren derzeit den Infektionsweg und untersuchen weitere mögliche Ausbreitungsfälle.
  • Über eine Supply-Chain-Kompromittierung auf offiziellem Weg verbreitete Malware zeigt, dass selbst Software, die als vertrauenswürdig gilt, Risiken ausgesetzt sein kann.

Empfehlungen für GravityForms-Nutzer

  • Betreiber von Websites, die GravityForms installiert oder aktualisiert haben, sollten sofort die Integrität des Plugins prüfen.
  • Sicherheitsankündigungen und Update-Hinweise über die offiziellen Kanäle sollten aufmerksam verfolgt werden; im Verdachtsfall wird eine erzwungene Deinstallation und Neuinstallation empfohlen.

Fazit

  • Supply-Chain-Angriffe bedrohen die gesamte Vertrauenskette und schärfen das Bewusstsein bei Unternehmen wie auch Entwicklern.
  • Für die künftige Auswahl von Plugins und das Sicherheitsmanagement wird die Bedeutung von Verifizierung und kontinuierlicher Beobachtung betont.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-07-14
Hacker-News-Kommentare

  • Ich bin wirklich dankbar, dass ein sorgfältiger Systemadministrator diesen Supply-Chain-Angriff entdeckt hat, indem er langsame HTTP-Anfragen nachverfolgt hat.
    Ähnlich war es auch beim xz-Vorfall, als ein Entwickler die verschlechterte SSH-Login-Performance merkwürdig fand, genauer hinsah und so den Angriff aufdeckte.

    • Früher ließ sich Malware oft leicht an einer verschlechterten Systemleistung erkennen, aber heute wirkt schon die grundlegende Erkennung viel schwieriger, weil Hardware schneller geworden ist und Netzwerke komplexer sind.
      Böswillige Akteure werden immer raffinierter, und wir setzen unsere Systeme aus immer mehr Komponenten aus immer vielfältigeren Quellen zusammen.
      Es beunruhigt mich, dass die gesamte IT-Infrastruktur langfristig immer mehr ihre grundsätzliche Vertrauenswürdigkeit zu verlieren scheint.

  • In der offiziellen Gravity-Forms-Mitteilung (https://www.gravityforms.com/blog/security-incident-notice/) steht, dass nur Installationen betroffen sind, die Gravity Forms direkt von der Website heruntergeladen oder per Composer installiert haben.
    Soweit ich geprüft habe, verwendet auch die Composer-Installationsmethode beim Abrufen des Installationspakets die Gravity-Forms-API und teilt damit das gleiche Grundprinzip wie die Auto-Update-Funktion innerhalb des Gravity-Forms-Plugins oder das WP-CLI-Plugin.
    Ich frage mich, ob das Gravity-Forms-Entwicklungsteam für die Untersuchung dieses Vorfalls ein externes Sicherheitsunternehmen beauftragen wird.
    Bisher gibt es dazu keine Erwähnung.

  • Wie mir ein Mitarbeiter von RocketGenius bestätigt hat, betrifft diese Malware nur manuelle Downloads und Composer-Installationen.
    Das ist beruhigend.

  • Wenn vor der Prüfung des Formulars ein Nonce verwendet worden wäre, hätte sich ein großer Teil dieses Problems vermeiden lassen.
    Anders gesagt: Dadurch könnte plötzlich sehr viel Handarbeit nötig geworden sein.

    • Ich verstehe den technischen Hintergrund, aber aus britischer Sicht wirken solche Sätze immer ein bisschen komisch.

  • Ich frage mich, wie lange das unentdeckt geblieben ist.

  • Ich finde es stark, dass die Malware entdeckt und Maßnahmen ergriffen wurden, um ihre Verbreitung zu stoppen.
    Allerdings gab es im Artikel einen leicht verwirrenden Fehler.
    Ganz oben sollte das letzte Aktualisierungsdatum wohl eigentlich "Update 7-12-2025 06:00 UTC" heißen, stattdessen steht dort aber das zukünftige Datum 08-11-2025.
    Vermutlich hat der Autor einfach eine falsche Stelle eingetragen.

    • Dass man durcheinanderkommt, was die Zahlen bedeuten, ist ganz natürlich.
      Es wirkt fast wie ein Lehrbeispiel dafür, wie solche Verwirrung entsteht, wenn man im amerikanischen Datumsformat Bindestriche verwendet, um ISO zu imitieren, dabei aber Reihenfolge und Padding falsch angibt.

  • Es kam die Frage auf, wie weitreichend die Auswirkungen dieses Vorfalls sind.
    Ich frage mich, ob bis zu 90 % der Websites im Internet betroffen sind oder nur eine kleine Zahl von Seiten mit wenig Traffic.

    • Eher irgendwo dazwischen.
      Gravity Forms ist ein sehr beliebtes Premium-WordPress-Plugin.
      Ich betreue mehrere WordPress-Sites — nicht weil ich die Plattform selbst gewählt hätte, sondern weil es sich so ergeben hat — und finde, dass Gravity Forms bei Design und Funktionsumfang den meisten Konkurrenz-Plugins überlegen ist (wenn auch mit hohem CPU-Verbrauch).
      Es macht nicht besonders viele Probleme, und auch als Entwickler habe ich im Austausch mit Rocket Genius über Tickets einen positiven Eindruck gewonnen.
      Das Plugin ist in kleinen und mittleren Organisationen tatsächlich ziemlich weit verbreitet.
      Genaue Zahlen kenne ich nicht, aber die offiziellen WordPress.org-Beliebtheitsstatistiken haben die Einschränkung, dass sie nur kostenlose Plugins abbilden; tatsächlich laufen also viele Sites und viel Traffic darüber.
      Die Zahl der tatsächlich exponierten Sites ist aber begrenzt.
      Da das betroffene Paket nicht im Hauptkanal für automatische Auslieferung enthalten war, wurden in der Praxis nur wenige betroffen.
    • Es wird betont, dass nur die kleine Zahl von Sites betroffen war, die die problematische Version manuell heruntergeladen haben.
      Die meisten Premium-Updates werden offenbar über das Gravity-API-Gateway ausgeliefert (Gerüchten zufolge über eine AWS-basierte Dateiaufruf-Struktur), und dieser Pfad war nicht betroffen.
      Der Gravity-API-Dienst ist für Lizenzen, automatische Updates und die Installation von Add-ons zuständig und wurde selbst nie kompromittiert.
      Daher gelten alle Paket-Updates über diesen Dienst als sicher.
    • Es gibt auch den Hinweis: "Die Infektion scheint nicht weit verbreitet zu sein; das könnte darauf hindeuten, dass die mit einer Backdoor versehene Plugin-Version nur für einen sehr kurzen Zeitraum verfügbar war und daher nur an eine sehr kleine Zahl von Nutzern ausgeliefert wurde."

  • Jemand berichtet, von der Gruppe AB of Ac1dB1tch3z kompromittiert worden zu sein.

  • Es wurde die Meinung geäußert, man müsse klar dazuschreiben, um welches Plugin es geht.

    • Das steht bereits eindeutig im Titel: Es geht um das offizielle GravityForms-Plugin.
      Dieses Problem wurde in v2.9.13 behoben, und im offiziellen Changelog wird der Vorfall nicht erwähnt.