Gravity Forms - một plugin WordPress hợp pháp mới được phát hiện có chứa một backdoor sau khi plugin này bị tấn công chuỗi cung ứng. Plugin Gravity Forms, do Rocketgenius tạo ra, cho phép tạo form chuyên nghiệp trên các trang web WordPress và được sử dụng trên hơn 5 triệu trang web, theo số liệu trên trang web chính thức của công ty.

Diễn biến và phạm vi sự cố

Ngày phát hiện: 11 tháng 7 năm 2025, các chuyên gia bảo mật của Patchstack công bố mã độc (malware) và backdoor được tìm thấy trong plugin Gravity Forms cho WordPress.
Phạm vi ảnh hưởng: Chỉ các phiên bản Gravity Forms 2.9.11.1 và 2.9.12 được tải thủ công từ trang web gravityforms[.]com vào khoảng ngày 9-10 tháng 7 năm 2025.
Phương thức xâm nhập: Kẻ tấn công đã can thiệp trái phép vào các gói tải xuống thủ công. Hệ thống cập nhật tự động và API của Gravity Forms hoàn toàn không bị xâm nhập.

Đặc điểm và hành vi của mã độc

Mã độc liên lạc với tên miền giả mạo gravityapi[.]org (hiện đã bị vô hiệu hóa).
Sau khi lây nhiễm, mã độc gửi thông tin website (URL, tên website, phiên bản WordPress Core, PHP) tới máy chủ độc hại, sau đó tải về payload dưới dạng mã base64 và lưu vào wp-includes/bookmark-canonical.php.
Payload này cho phép kẻ tấn công thực hiện lệnh eval() trái phép (remote code execution - RCE), có thể:
- Tạo hoặc xóa tài khoản người dùng.
- Upload file độc hại.
- Thực thi mã tùy ý.

Cách kiểm tra và xử lý nếu bị ảnh hưởng

Kiểm tra nhiễm mã độc

Người dùng truy cập một trong các URL sau (thay {your_domain} bằng tên miền thực tế):

{your_domain}/wp-content/plugins/gravityforms/notification.php?gf_api_token=Cx3VGSwAHkB9yzIL9Qi48IFHwKm4sQ6Te5odNtBYu6Asb9JX06KYAWmrfPtG1eP3&action=ping
{your_domain}/wp-content/plugins/gravityforms_2.9.11.1/notification.php?gf_api_token=Cx3VGSwAHkB9yzIL9Qi48IFHwKm4sQ6Te5odNtBYu6Asb9JX06KYAWmrfPtG1eP3&action=ping
{your_domain}/wp-content/plugins/gravityforms_2.9.12/notification.php?gf_api_token=Cx3VGSwAHkB9yzIL9Qi48IFHwKm4sQ6Te5odNtBYu6Asb9JX06KYAWmrfPtG1eP3&action=ping

Nếu trả về thông báo:

Warning: Undefined array key “gf_api_action” in...

nghĩa là trang web đã bị nhiễm malware.

IOCs liên quan đến chiến dịch này

URL

gravityapi[.]org

IP

185.243.113[.]108

185.193.89[.]19

24.245.59[.]0

194.87.63[.]219

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số biện pháp nhằm phòng chống nguy cơ từ các vụ tấn công chuỗi cung ứng nhắm vào plugin WordPress, điển hình như vụ Gravity Forms:

Về phía Gravity Forms đã:
- Thay đổi toàn bộ thông tin xác thực máy chủ lưu trữ.
- Đổi mật khẩu tất cả các tài khoản admin.
- Thông báo cho các nhà đăng ký tên miền, nhà cung cấp hosting để xử lý domain và IP độc hại.
- Phối hợp với các tổ chức báo cáo CVE.
Về phía người dùng:
- Khôi phục website về trạng thái an toàn từ bản backup trước ngày 9/7/2025.
- Nếu không có backup, thực hiện:
  - Vô hiệu hóa và xóa plugin bị nhiễm (2.9.11.1 hoặc 2.9.12).
  - Tải và cài đặt phiên bản sạch (từ 2.9.13 trở lên).
- Chặn tên miền và IP độc hại sau tại firewall hoặc plugin bảo mật.
- Kiểm tra toàn diện:
  - Xem xét các tài khoản admin, plugin và log hệ thống.
  - Xóa bỏ các tài khoản bất thường và thay đổi mật khẩu admin.

Cảnh báo: Tấn công chuỗi cung ứng nhắm vào plugin Gravity Forms trên WordPress