Administradores de sites WordPress Estão SendO Orientados A Agir Com Urgênia Após A Descoberta de Um Ataque Sofistorado Contra O Plugin Gravity Forms. O Incidente Foi Identificado Um Partir de Trráfego Anômalo Envolvendo O Parâmetro gf_api_token, com requisitos maliciosas originais do ip 193.160.101.6.
Leia Tamboma
Empreas lias de ia atram na defesa dos eua
PACOTES NPM CONTAMINADOS foram Baixados 17 mil Vezes
UM Campanha Maliciosa Foi Detectada em 11 de julho, Quando Pesquisadorores Observaram Requisitos Post Suspeitas para o Domínio Gravityapi.org, Apresenta em Uma Cópia do Plugin Baixada do Site OficialForms.com. Ó Domínio, Registrado em 8 de Julho, Indica que o Ataque Foi Recente e Específica. O código malicioso for inserido no arquivo GravityForms/Common.php, por meio da função update_entry_detail (), que coleta informações administrativas do site e como Envia ao servidor.
Um pluir o pluir o plug-in infectorado de servidor um plug-in ARQUIVOS PHP ADICIONALIS, COMO WP-INCLUDES/BRICKMARK-CANONICAL.PHP, que executam o site total do código externo por meio de chamadas (), permitindo controla o site Porta de Entrada, identificada para o arquivo inclui/configurações/classes-settings.php, que válida um token api e aceita aÇões remotas como crriaza de contas de administração, execução de código e modificante de usradores.
O cáldigo malicioso é ativado via notificação.php, carregando o wordpress e Chamando como funções comprimidos. Uma gravidade forma publicou Rapidamente A Versão 2.9.13 Faça plugin, sem códios maliciosos. Um Namecheap Susndeu O Domínio Gravityapi.org Para Dificultar Novas Explorações.
APESAR da gravidada, os impactos parecem o Sido Limitados, Pois A Versão Afetada FOI Distribuada Manualmente ou via compositor, portáticas por portualizações. Especialistas Recomendam Inspecionar OS Locais Em Busca de Indicadores de Comprometimentação, Removedor Arquivos Injeções e Atualizador imediado o Plugin Para um Versão Corrigida.
