Blog

Ataque à cadeia de suprimentos atinge plugin Gravity

Escrito por LC Sec | 14/07/2025 22:36:07
Segurança da Informação

Ataque à cadeia de suprimentos atinge plugin Gravity Forms no WordPress

Uma violação na cadeia de suprimentos do plugin Gravity Forms afetou cerca de 1 milhão de sites WordPress, permitindo que invasores executassem código remotamente. É crucial reinstalar o plugin a p...

Navegação

O que é o ataque ao Gravity Forms? Como funciona Sinais de alerta / Como identificar O que fazer agora / Como se proteger Prevenção / Boas práticas

Resumo rápido

Uma violação na cadeia de suprimentos do plugin Gravity Forms afetou cerca de 1 milhão de sites WordPress, permitindo que invasores executassem código remotamente. É crucial reinstalar o plugin a partir de fontes confiáveis e escanear o site em busca de arquivos maliciosos.

Neste artigo você vai aprender:

  • O que aconteceu com o plugin Gravity Forms e como ele foi comprometido.
  • Os métodos utilizados pelos atacantes para infectar sites.
  • Como identificar sinais de comprometimento em seu site.
  • As medidas recomendadas para proteger seu WordPress.
  • Dicas de prevenção contra ataques futuros.

O que é o ataque ao Gravity Forms?

Recentemente, foi identificada uma violação na cadeia de suprimento do plugin Gravity Forms, bastante usado no WordPress. O método de instalação manual foi alvo de ataque, afetando cerca de 1 milhão de sites, incluindo grandes organizações.

Como funciona

Pesquisadores da PatchStack detectaram que instaladores manuais (downloads diretos do site) foram infectados com um backdoor no arquivo common.php. Esse código envia metadados do site – URL, tema, plugins, versões – a um domínio malicioso (gravityapi.org/sites). O retorno dessa requisição inclui código PHP codificado em base64 que é salvo em wp-includes/bookmark-canonical.php.

Esse malware cria funções como handle_posts() e handle_media(), permitindo que usuários não autenticados executem código remotamente no servidor. Também é adicionada uma conta admin oculta, garantindo controle total ao invasor. O ataque afetou versões 2.9.11.1 e 2.9.12 baixadas entre 10 e 11 de julho. Quem usou o Composer ou o sistema interno de atualizações não foi afetado.

Sinais de alerta / Como identificar

É recomendável que os administradores de sites verifiquem possíveis alterações, especialmente no código e nas contas de usuário. A PatchStack recomenda baixar imediatamente uma versão limpa do plugin. A RocketGenius, responsável pelo Gravity Forms, orienta reverter instalações manuais dessas versões.

O que fazer agora / Como se proteger

  1. Reinstale Gravity Forms usando apenas fontes confiáveis: Composer ou interface oficial sempre atualizada.
  2. Escaneie seu site em busca de arquivos não originais, principalmente common.php e bookmark-canonical.php.
  3. Remova qualquer conta admin desconhecida adicionada recentemente.
  4. Implemente monitoramento contínuo de integridade e alertas para alterações não autorizadas em diretórios wp-includes ou wp-content.
  5. Ative logs detalhados de acessos e mudanças no painel do WordPress.

Prevenção / Boas práticas

O comprometimento do Gravity Forms mostra que até plugins confiáveis podem ser vetores de ataque quando a cadeia de suprimentos é violada. Usar fontes seguras, realizar auditorias regulares e monitoramento ativo são fundamentais.

Proteja seu site WordPress com a LC Sec

Na LC SEC, oferecemos serviços de auditoria, hardening de plugins, monitoramento e treinamento de equipes para reforçar sites WordPress contra ameaças. Garanta a proteção do seu ambiente.

Falar com especialista
Visualizar publicação completa