Funnel Builderプラグインのwordpressにおける重大な脆弱性が、WooCommerceチェックアウトページに悪意のあるJavaScriptスニペットを注入するために積極的に悪用されています。
この脆弱性は公式識別子を受け取っておらず、認証なしで悪用される可能性があります。3.15.0.3より前のプラグインのすべてのバージョンに影響します。
Funnel BuilderはFunnelKitによって開発されたWooCommerce Checkoutのためのワードプレスプラグインで、主にチェックアウトページのカスタマイズに使用され、ワンクリックアップセル、ランディングページ、コンバージョン率最適化などの機能があります。
WordPress.orgの統計に基づくと、Funnel Builderプラグインは40,000を超えるウェブサイトで活動しています。
eコマースセキュリティ企業Sansecは悪意のあるアクティビティを検出しました。ペイロード(analytics-reports[.]com/wss/jquery-lib.js)は偽のGoogleタグマネージャー/Googleアナリティクススクリプトとして偽装されており、外部の場所(wss://protect-wss[.]com/ws)へのWebSocket接続を開きます。
攻撃者はこれを悪用して、保護されていない公開されたチェックアウトエンドポイント経由で、プラグインのグローバル設定を変更できます。これにより、攻撃者はプラグインの「外部スクリプト」設定に任意のJavaScriptを注入でき、すべてのチェックアウトページで悪意のあるコードを実行させることができます。
Sansecによると、攻撃者が制御するサーバーは、以下の情報を盗む、カスタマイズされたペイメントカードスキマーを配信します:
- クレジットカード番号
- CVV
- 請求先住所
- その他の顧客情報
ペイメントカードスキマーは脅威アクターが詐欺的なオンライン購入を行うことを可能にし、盗まれたレコードはカーディング市場として知られているダークウェブポータルで個別またはまとめて販売されることが多いです。
FunnelKitは昨日リリースされたFunnel Builder 3.15.0.3で脆弱性に対応しました。
ベンダーのセキュリティ勧告(Sansecが確認)は悪意のあるアクティビティを確認し、「悪質な行為者がスクリプトを注入することを許可する問題を特定しました」と述べています。
ベンダーは、ウェブサイトの所有者と管理者がワードプレスダッシュボードから最新版への更新を優先し、設定>チェックアウト>外部スクリプトで攻撃者が追加した可能性のある不正なスクリプトを確認することを勧めています。
検証ギャップ:自動ペネトレーションテストは1つの質問に答えます。6つが必要です。
自動ペネトレーションテストツールは実際の価値をもたらしますが、1つの質問に答えるために作られました:攻撃者はネットワークを通過できますか?彼らはあなたのコントロールが脅威をブロックするか、検出ルールが発火するか、クラウド構成が保持されるかをテストするために作られませんでした。
このガイドは、実際に検証する必要がある6つのサーフェスをカバーしています。
