Un ataque a la cadena de suministro afectó las versiones 2.9.11.1 y 2.9.12 del popular plugin Gravity Forms. Los atacantes inyectaron un backdoor que permite ejecución remota de código, creación de cuentas de administrador y exfiltración de datos.
El desarrollador del plugin Gravity Forms, RocketGenius, ha confirmado una grave brecha de seguridad tras detectar versiones manipuladas de su plugin para WordPress, disponibles para descarga manual entre el 9 y el 11 de julio. El incidente, calificado como ataque a la cadena de suministro, permitió que actores maliciosos insertaran una puerta trasera (backdoor) en las versiones 2.9.11.1 y 2.9.12 del plugin, ampliamente utilizado en más de un millón de sitios web a nivel mundial.
Qué ocurrió: instalación manual comprometida
Según la firma de seguridad PatchStack, el plugin comprometido incluía un archivo malicioso (common.php) que enviaba solicitudes POST a un dominio sospechoso (gravityapi.org/sites) y extraía información sensible del sitio web afectado: desde URLs hasta datos sobre temas instalados, plugins activos, y versiones de PHP y WordPress.
Posteriormente, el servidor controlado por los atacantes respondía con un malware codificado en Base64, el cual se guardaba bajo el nombre bookmark-canonical.php dentro del directorio wp-includes, camuflado como una herramienta legítima de gestión de contenidos.
Una vez activo, el malware permitía ejecución remota de código (RCE) sin autenticación, gracias al uso de funciones maliciosas insertadas en la cadena de inicialización del plugin, que podían ser invocadas con una simple petición web.
Impacto real: cuentas admin y persistencia
RocketGenius confirmó que el malware no solo impedía la actualización del plugin afectado, sino que también intentaba conectarse a servidores externos para descargar cargas adicionales, y creaba cuentas administrativas ocultas que permitían a los atacantes mantener el acceso al sitio comprometido.
La empresa enfatizó que las instalaciones realizadas mediante el sistema automático de actualizaciones de WordPress no se vieron comprometidas, ya que el Gravity API, encargado de gestionar las licencias y las descargas internas, no fue afectado.
Qué versiones fueron comprometidas
- Gravity Forms 2.9.11.1 descargado manualmente el 9 o 10 de julio.
- Gravity Forms 2.9.12 descargado manualmente el 10 de julio.
- Instalaciones vía composer de la versión 2.9.11.1 en esas fechas.
Recomendaciones para administradores
RocketGenius ha publicado instrucciones detalladas para detectar y eliminar la amenaza. Se recomienda:
- Reinstalar una versión limpia del plugin (2.9.13 o superior).
- Bloquear el dominio malicioso
gravityapi.orgy las siguientes IPs:185.243.113.108,185.193.89.19,24.245.59.0,194.87.63.219. - Revisar usuarios: eliminar cuentas de administrador sospechosas.
- Revisar logs y realizar una auditoría completa del sitio.
- Si es posible, restaurar una copia de seguridad previa al 9 de julio.
Se puede detectar la infección accediendo a URLs específicas de diagnóstico dentro del sitio (ver comunicado oficial de Gravity Forms).
Reflexión sobre la cadena de suministro en WordPress
Este incidente subraya la creciente amenaza que representan los ataques a la cadena de suministro en el ecosistema WordPress, donde incluso plugins premium y de alta reputación como Gravity Forms pueden convertirse en vectores de ataque si sus canales de distribución son comprometidos.
Gravity Forms es utilizado por organizaciones como Airbnb, Nike, ESPN, Unicef, Google y Yale, lo que agrava el impacto potencial. Aunque RocketGenius reaccionó rápidamente, el incidente plantea serias dudas sobre las prácticas de seguridad en los procesos de empaquetado y distribución de plugins.
Conclusión
La comunidad de WordPress debe permanecer alerta. Este ataque demuestra que incluso plugins de confianza pueden ser manipulados si se descargan manualmente fuera del sistema de actualizaciones. Los desarrolladores y administradores deben reforzar sus prácticas de seguridad, verificar las firmas digitales cuando sea posible, y priorizar mecanismos de instalación seguros y controlados.
Mientras tanto, RocketGenius ha reiterado su compromiso con la seguridad, ha reforzado sus sistemas de control de acceso y ha iniciado investigaciones junto a expertos y entidades de ciberseguridad. La rápida comunicación y transparencia por parte del desarrollador han sido fundamentales para mitigar el daño, pero el riesgo latente sigue presente: la cadena de suministro del software libre sigue siendo un objetivo atractivo para los ciberdelincuentes.
