GravityForms plagini orqali WordPress saytlariga zararli kod joylashtirildi

2025-yil 11-iyul kuni WordPress’ning eng mashhur plaginlaridan biri — GravityForms’da xavfli kiberhujum aniqlandi. Bu voqea zamonaviy kiberjinoyatchilikning murakkab va xavfli ko‘rinishlaridan biri sifatida baholanmoqda. Hujumchilar ushbu plaginning 2.9.12-versiyasiga zararli kod joylashtirib, minglab saytlar xavfsizligini tahdid ostiga qo‘ydi.

Asosiy voqealar:

  • Hujum supply chain attack — ya’ni dasturiy ta’minotni ishlab chiqish zanjiriga zararli o‘zgartirish kiritish orqali amalga oshirilgan.
  • Zararli kod to‘g‘ridan-to‘g‘ri gravityforms.com rasmiy sayti orqali tarqatilgan.
  • U orqali xakerlar saytga masofadan kod yozish, ma’lumotlarni o‘g‘irlash va orqa eshik (backdoor) orqali doimiy kirish imkoniyatiga ega bo‘lishgan.

Plaginning common.php fayliga joylashtirilgan update_entry_detail() funksiyasi orqali hujumchilar quyidagi ma’lumotlarni to‘plashgan:

  • WordPress versiyasi
  • Foydalanuvchilar soni
  • Saytdagi plaginlar ro‘yxati
  • Server haqida texnik ma’lumotlar

Ushbu ma’lumotlar xakerlar tomonidan ro‘yxatdan o‘tkazilgan gravityapi.org domeniga yuborilgan. Javob sifatida kelgan zararli kod esa PHP fayl ko‘rinishida saqlanib, saytga orqa eshik o‘rnatilgan.

Shuningdek, list_sections() nomli boshqa funksiya orqali:

  • Yangi admin (boshqaruvchi) akkauntlar yaratish
  • Saytga zararli fayllarni yuklash
  • Foydalanuvchilarni o‘chirish
  • PHP kodni masofadan bajarish
    kabi xatarli harakatlar amalga oshirilgan.

Plagin ishlab chiqaruvchisi RocketGenius 2025-yil 7-iyulda muammoni bartaraf etgan 2.9.13-versiyasini chiqardi. Shu bilan birga, Namecheap registratori gravityapi.org domenini blokladi.

Tavsiya:

Agar sizning WordPress saytingizda GravityForms plagini o‘rnatilgan bo‘lsa:

  • Uni zudlik bilan 2.9.13 yoki undan yuqori versiyaga yangilang
  • Saytingizda noaniq admin akkauntlar yoki shubhali fayllar mavjudligini tekshiring
  • common.php va settings.php fayllarida update_entry_detail() yoki list_sections() funksiyalari mavjud emasligiga ishonch hosil qiling
  • Quyidagi IP manzillar va fayllarni qidirib chiqing:
    • IP: 185.193.89.19, 193.160.101.6
    • Fayllar: bookmark-canonical.php, block-caching.php

Ushbu hujum zamonaviy kiberjinoyatchilikda supply chain zaifliklaridan foydalanish qanchalik xavfli ekanini ko‘rsatdi. Ishonchli manba orqali yuklangan plagin ham har doim xavfsiz bo‘lavermaydi. Shuning uchun har qanday plagin va yangilanishdan so‘ng xavfsizlik monitoringi va audit muhim ahamiyatga ega.