FunnelKitの重大な脆弱性により、4万以上のWooCommerceサイトがリスクに晒される

FunnelKitのFunnel Builderプラグインの重大なセキュリティ脆弱性が積極的に悪用されており、4万以上のWooCommerceウェブサイトが支払いデータの窃取のリスクに晒されています。

この脆弱性は3.15.0.3より前のすべてのFunnel Builderバージョンに影響し、認証されていない攻撃者がWooCommerceチェックアウトページに任意のJavaScriptを注入することができます。

Funnel Builderはチェックアウトフローとアップセル機能の最適化に広く使用されており、支払いデータを大規模に求める攻撃者にとって高い価値のターゲットになっています。

この問題はプラグイン内の安全でない公開チェックアウトエンドポイントから生じています。このエンドポイントにより、受信リクエストはどの内部メソッドを実行すべきかを指定することができます。

しかし、影響を受けたバージョンはユーザー権限の検証に失敗し、機密メソッドへのアクセスを制限していません。

その結果、攻撃者はプラグイン設定の更新を担当する内部関数を直接呼び出す、細工された未認証リクエストを送信することができます。

これには「外部スクリプト」設定が含まれます。これは管理者がアナリティクスやトラッキングツールなどのカスタムスクリプトを追加できるように設計されています。

この機能を悪用することで、攻撃者は悪意のある <script> タグを挿入でき、これはすべてのチェックアウトページで自動的に実行されます。

Sansecのセキュリティ研究者がGBhackersと共有したレポートによると、脅威アクターがチェックアウトページに悪意のあるスクリプトを注入し、取引中に顧客の機密情報を静かに収集する進行中の攻撃を観察しています。

これはチェックアウト処理を効果的にデータ流出ポイントに変え、顧客のクレジットカード番号、CVV、請求先住所、その他の個人情報を露出させます。

FunnelKitはバージョン3.15.0.3で適切な機能チェックを実装し、エンドポイントを許可されたメソッドのセーフリストに制限することで、この問題に対応しました。

FunnelKit脆弱性

Sansecは攻撃者が正当なGoogle Tag Managerまたはアナリティクススクリプトとして彼らのペイロードを偽装していると報告しており、これはMagecartスタイルのキャンペーンに一般的に関連付けられた戦術です。

これらの悪意のあるスクリプトは本物のトラッキングコードに混在し、日常的な検査中の検出を困難にします。

観察された1つの攻撃では、注入されたスクリプトはBase64エンコーディングを使用してセカンダリペイロードURLを隠蔽しています。ページロード時に、文字列をデコードし、悪意のあるドメインから外部スクリプトをロードします。

実行されると、スクリプトは攻撃者のインフラストラクチャとのWebSocket接続を確立し、カスタマイズされた支払いスキマーを動的に取得します。このスキマーは機密チェックアウトデータをリアルタイムで傍受し、流出させます。

この技術は、攻撃者がGoogle Analyticsのような信頼できるサービスを模倣して検出を回避するという増加傾向を強調しており、管理者はしばしば見た目が同じスクリプトを見落とします。

FunnelKitはセキュリティパッチをリリースし、すべてのユーザーに即座のアップデートを強く促しています。ウェブサイト管理者は以下のアクションを実施する必要があります。

積極的な悪用と脆弱性の重大な性質を考慮すると、アップデートの遅延は継続的なデータ盗難と潜在的な財務的および評判上の損害をもたらす可能性があります。

WooCommerceストアを実行している組織は、この問題を高優先度のインシデントとして扱い、顧客データを保護し、信頼を維持するために即座の修復を確保する必要があります。