- Đã phát hiện mã độc trong phiên bản mới nhất của plugin GravityForms cho WordPress
- Đây là tình huống bản phân phối chính thức bị lây nhiễm do xâm phạm chuỗi cung ứng (supply chain breach)
- GravityForms đang được sử dụng rộng rãi làm trình tạo biểu mẫu trên nhiều website
- Các nhà nghiên cứu bảo mật đang điều tra phạm vi ảnh hưởng và mức độ rủi ro của lỗ hổng
- Với các website đang dùng plugin này, sự cần thiết phải kiểm tra và thay thế khẩn cấp đang được nhấn mạnh
Tổng quan về vụ xâm phạm chuỗi cung ứng của GravityForms
- Gần đây, mã độc đã được phát hiện trong plugin WordPress chính thức GravityForms
- Vụ việc này được đánh giá là một ví dụ điển hình của xâm phạm chuỗi cung ứng (Supply Chain Breach)
- Việc lây nhiễm xảy ra từ nguồn chính thức khiến cả các bản cài đặt mới lẫn hiện có đều bị suy giảm độ tin cậy
GravityForms và tác động bảo mật
- GravityForms là plugin phổ biến giúp tạo và quản lý biểu mẫu dễ dàng trên các website chạy WordPress
- Do được sử dụng rộng rãi, phạm vi thiệt hại của cuộc tấn công chuỗi cung ứng này có thể rất lớn
- Mã độc được chèn vào lần này có thể dẫn đến mối đe dọa bảo mật đối với toàn bộ website và dữ liệu người dùng
Điều tra và ứng phó
- Các chuyên gia bảo mật đang phân tích đường lây nhiễm đồng thời điều tra các trường hợp lan rộng bổ sung
- Mã độc được phát tán qua con đường chính thức bằng hình thức xâm phạm chuỗi cung ứng cho thấy ngay cả phần mềm vốn được xem là đáng tin cậy cũng có thể bị đặt vào tình thế rủi ro
Khuyến nghị cho người dùng GravityForms
- Các quản trị viên website đã cài đặt hoặc cập nhật GravityForms cần kiểm tra tính toàn vẹn của plugin ngay lập tức
- Cần theo dõi sát các thông báo bảo mật và cập nhật từ kênh chính thức; nếu có dấu hiệu đáng ngờ, nên xóa cưỡng bức và cài đặt lại
Kết luận
- Các cuộc tấn công chuỗi cung ứng đe dọa chính chuỗi tin cậy và là hồi chuông cảnh tỉnh quan trọng đối với cả doanh nghiệp lẫn nhà phát triển
- Tầm quan trọng của việc xác minh và giám sát liên tục sẽ càng được nhấn mạnh trong lựa chọn plugin và quản lý bảo mật về sau
1 bình luận
Ý kiến trên Hacker News
Thật sự biết ơn vì vụ xâm phạm chuỗi cung ứng này đã được một quản trị viên hệ thống cẩn thận phát hiện trong lúc lần theo các yêu cầu HTTP chậm
Tương tự, trong vụ xz trước đây cũng từng có trường hợp một nhà phát triển thấy hiệu năng đăng nhập SSH giảm bất thường, rồi kiểm tra kỹ và phát hiện ra việc bị xâm nhập
Những kẻ xấu cũng ngày càng tinh vi hơn, còn chúng ta thì đang lắp ghép hệ thống từ nhiều thành phần hơn với nhiều nguồn gốc hơn
Tôi lo ngại về xu hướng dài hạn khi toàn bộ hạ tầng CNTT đang dần mất đi độ tin cậy mặc định
Trong thông báo chính thức của Gravity Forms có nói rằng chỉ những trường hợp tải Gravity Forms trực tiếp từ trang chủ hoặc cài qua Composer mới bị ảnh hưởng
Theo những gì tôi kiểm tra, cách cài qua Composer cũng dùng Gravity Forms API trong quá trình nhận gói cài đặt, nên về nguyên lý hoạt động nó giống với tính năng tự động cập nhật bên trong plugin Gravity Forms hay plugin WP-CLI
Tôi tò mò không biết đội ngũ phát triển Gravity Forms có thuê một công ty bảo mật bên thứ ba để điều tra sự việc này hay không
Cho đến giờ vẫn chưa thấy nhắc gì về việc đó
Theo xác nhận tôi nhận được từ một nhân viên của RocketGenius, mã độc lần này chỉ ảnh hưởng đến tải xuống thủ công và cài đặt bằng Composer
Cảm thấy nhẹ nhõm
Nếu họ dùng nonce trước khi kiểm tra form thì đã có thể ngăn được phần lớn vấn đề lần này
Nói cách khác, nhờ thế mà bỗng nhiên có thể phát sinh rất nhiều việc thủ công
Tôi tự hỏi chuyện này đã tồn tại bao lâu mà không bị phát hiện
Tôi nghĩ việc tìm ra mã độc và có biện pháp ngăn chặn phát tán là rất đáng khen
Tuy vậy, trong bài có một lỗi hơi gây nhầm lẫn
Dòng ngày cập nhật mới nhất ở đầu trang lẽ ra có vẻ phải là "Update 7-12-2025 06:00 UTC", nhưng lại được ghi thành ngày tương lai 08-11-2025
Có lẽ tác giả đã gõ nhầm chữ số
Đây giống như một bài học phản diện về việc dùng dấu gạch theo kiểu bắt chước định dạng ISO nhưng lại ghi theo thứ tự ngày tháng kiểu Mỹ và đệm số không chuẩn, nên mới sinh ra kiểu lẫn lộn như vậy
Có câu hỏi về mức độ ảnh hưởng của vụ này
Liệu nó chạm đến 90% các trang web trên Internet hay chỉ là một số ít website ít traffic
Gravity Forms là một plugin WordPress cao cấp rất phổ biến
Tôi đang duy trì nhiều website WordPress, và dù đó không phải nền tảng do tôi chọn nhưng vẫn phải dùng, tôi thấy Gravity Forms tốt hơn phần lớn plugin cạnh tranh về mặt thiết kế lẫn tính năng, dù khá tốn CPU
Nó cũng không gặp quá nhiều vấn đề, và từ góc nhìn của một nhà phát triển, trải nghiệm làm việc với Rocket Genius qua các ticket hỗ trợ của tôi là khá tích cực
Đây đúng là một plugin được cài rất nhiều ở các tổ chức nhỏ và vừa
Tôi không biết con số chính xác, nhưng thống kê phổ biến chính thức trên WordPress.org có giới hạn là chỉ phản ánh plugin miễn phí, nên trên thực tế có khá nhiều website và khá nhiều traffic đang chạy nó
Tuy nhiên, số website thực sự bị phơi bày trước rủi ro thì có giới hạn
Vì gói có vấn đề không nằm trong kênh phân phối tự động chính, nên nơi thực sự bị ảnh hưởng chỉ là thiểu số
Phần lớn các tệp cập nhật premium trả phí được phân phối qua cổng Gravity API, theo lời đồn là một cấu trúc gọi tệp dựa trên AWS, và đường này không bị ảnh hưởng
Dịch vụ Gravity API phụ trách giấy phép, cập nhật tự động và cài đặt addon, và bản thân nó chưa từng bị xâm phạm
Mọi cập nhật gói qua dịch vụ đó đều được thông báo là an toàn
Có người kể rằng mình từng bị nhóm AB of Ac1dB1tch3z tấn công
Có ý kiến rằng cần viết rõ đó là plugin nào
Vấn đề lần này đã được sửa trong v2.9.13, và changelog chính thức không đề cập đến dấu vết của vụ xâm phạm