- WordPress’in en güncel GravityForms eklentisi sürümünde kötü amaçlı kod bulundu
- Bu durum, tedarik zinciri ihlali (supply chain breach) nedeniyle resmi dağıtımın enfekte olduğu bir olaya işaret ediyor
- GravityForms, birçok web sitesinde form oluşturucu olarak yaygın şekilde kullanılıyor
- Güvenlik araştırmacıları açığın etki alanını ve risk düzeyini inceliyor
- Bu eklentiyi kullanan web siteleri için hızlı inceleme ve değiştirme gerekliliği vurgulanıyor
GravityForms tedarik zinciri ihlaline genel bakış
- Yakın zamanda resmi WordPress eklentisi GravityForms içinde kötü amaçlı yazılım tespit edildi
- Bu olay, tedarik zinciri ihlali (Supply Chain Breach) için tipik bir örnek olarak değerlendiriliyor
- Enfeksiyon resmi kaynaktan gerçekleştiği için hem yeni hem mevcut kurulumlarda güven sorunu ortaya çıktı
GravityForms ve güvenlik etkisi
- GravityForms, WordPress tabanlı web sitelerinde form oluşturma ve yönetimini kolaylaştıran popüler bir eklenti
- Bu kadar yaygın kullanıldığı için, tedarik zinciri saldırısının etki alanı oldukça geniş olabilir
- Bu kez eklenen kötü amaçlı yazılım, tüm web sitesi ve kullanıcı verileri için güvenlik tehdidine dönüşebilir
İnceleme ve müdahale
- Güvenlik uzmanları, enfeksiyon yolunu analiz etmenin yanı sıra ek yayılma vakalarını da araştırıyor
- Tedarik zinciri ihlali yoluyla resmi kanaldan dağıtılan kötü amaçlı yazılım, güvenilir kabul edilen yazılımların bile risk altında olabileceğini gösteriyor
GravityForms kullanıcılarına öneriler
- GravityForms’u kurmuş veya güncellemiş web sitesi yöneticilerinin derhal eklenti bütünlüğünü kontrol etmesi gerekiyor
- Resmi kanallardaki güvenlik açıklamaları ve güncelleme duyuruları yakından takip edilmeli; şüpheli durumlarda zorla kaldırma ve yeniden kurulum öneriliyor
Sonuç
- Tedarik zinciri saldırıları, güven zincirinin kendisini tehdit ediyor ve hem şirketler hem geliştiriciler için önemli bir uyarı niteliği taşıyor
- Gelecekte eklenti seçimi ve güvenlik yönetiminde doğrulama ve sürekli izlemenin önemi vurgulanıyor
1 yorum
Hacker News yorumu
Bu tedarik zinciri ihlalinin, yavaş HTTP isteklerini izleyen dikkatli bir sistem yöneticisi tarafından fark edilmiş olmasına gerçekten minnettarım
Benzer şekilde xz olayında da, SSH giriş performansındaki düşüşü tuhaf bulan bir geliştirici durumu dikkatle inceleyip ihlali ortaya çıkarmıştı
Kötü niyetli kişiler de giderek daha kurnaz oluyor ve biz sistemleri daha fazla sayıda, daha çeşitli kaynaktan gelen bileşenlerle birleştiriyoruz
Tüm BT altyapısının uzun vadede giderek varsayılan olarak güvenilirliğini yitiriyor olması endişe verici
Resmi Gravity Forms duyurusuna (https://www.gravityforms.com/blog/security-incident-notice/) göre, yalnızca Gravity Forms'u doğrudan web sitesinden indirenler veya Composer ile kuranlar etkilenmiş
Benim doğruladığım kadarıyla Composer kurulum yöntemi de kurulum paketini alma sürecinde Gravity Forms API'sini kullanıyor; dolayısıyla Gravity Forms eklentisinin kendi otomatik güncelleme özelliği ya da WP-CLI eklentisiyle benzer bir çalışma mantığını paylaşıyor
Gravity Forms geliştirme ekibinin bu olayı araştırmak için üçüncü taraf bir güvenlik şirketiyle çalışıp çalışmayacağını merak ediyorum
Şu ana kadar buna dair bir ifade yok
RocketGenius çalışanlarından birinden teyit aldığım kadarıyla, bu kötü amaçlı yazılım yalnızca manuel indirme ve composer kurulumu üzerinden etki etmiş
Bu rahatlatıcı
Formu kontrol etmeden önce nonce kullanan bir yaklaşım olsaydı, bu sorunun büyük kısmı önlenebilirdi
Başka bir deyişle, bu sayede bir anda çok büyük miktarda manuel iş gereksinimi doğabilirdi
Bunun ne kadar süre boyunca fark edilmeden kaldığını merak ediyorum
Kötü amaçlı yazılımı bulup yayılmasını durduracak şekilde müdahale etmiş olmaları etkileyici
Yine de haberde biraz kafa karıştıran bir hata vardı
En üstteki son güncelleme tarihi normalde "Update 7-12-2025 06:00 UTC" olmalı gibi dururken, gelecekteki bir tarih olan 08-11-2025 yazıyor
Muhtemelen yazar bir basamağı yanlış girdi
Tire kullanarak ISO biçimini taklit eden ama sıralama ve sıfır doldurma açısından Amerikan tarih biçimini koruyan yazımların nasıl karışıklık yarattığına dair öğretici bir örnek gibi
Bu olayın etkisinin nereye kadar uzandığı soruluyor
İnternetteki sitelerin %90'ına kadar mı gidiyor, yoksa sadece trafiği düşük az sayıda siteyi mi etkiliyor diye merak ediliyor
Gravity Forms çok popüler bir premium WordPress eklentisi
Ben birkaç WordPress sitesinin bakımını yapıyorum (seçtiğim platform değildi ama mecburen), ve tasarım ile işlevsellik açısından Gravity Forms'un çoğu rakip eklentiden daha iyi olduğunu düşünüyorum (yalnız CPU kullanımı yüksek)
Çok fazla sorun çıkarmıyor ve geliştirici olarak Rocket Genius ile destek bileti sürecinde iletişim kurma deneyimim de olumluydu
Küçük ve orta ölçekli kuruluşlarda oldukça yaygın kurulu bir eklenti olduğu doğru
Kesin rakamları bilmiyorum ama resmi WordPress.org popülerlik istatistiklerinin yalnızca ücretsiz eklentileri yansıtması nedeniyle, gerçekte çok sayıda site ve yüksek miktarda trafik söz konusu
Yine de gerçekten risk altında kalan site sayısı sınırlı
Sorunlu paket ana otomatik dağıtım kanalına dahil edilmediği için fiilen etkilenen yer sayısı az
Premium (ücretli) güncelleme dosyalarının büyük çoğunluğu Gravity API ağ geçidi üzerinden iletiliyor (söylentiye göre AWS tabanlı bir dosya çağırma yapısı) ve bu yol etkilenmemiş
Gravity API hizmeti lisansları, otomatik güncellemeleri ve eklenti kurulumlarını yönetiyor; kendisi hiç ihlal edilmedi
Bu hizmet üzerinden gelen tüm paket güncellemelerinin güvenli olduğu belirtiliyor
AB of Ac1dB1tch3z grubunca saldırıya uğrama deneyimini paylaşan biri var
Hangi eklenti olduğunun açıkça yazılması gerektiği yönünde bir yorum var
Bu sorun v2.9.13 ile düzeltildi ve resmi değişiklik günlüğünde ihlale dair bir kayıt bulunmuyor