WordPressの電子商取引プラットフォームの運営者が、FunnelKitのFunnel Builderプラグインで発見された重大な脆弱性によって危機的な状況に陥っています。この欠陥は40,000以上のWooCommerceストアに影響を与えており、脅威行為者はすでにこの組織的侵害を悪用して、消費者の銀行認証情報を流出させ始めています。
Sansecのフォレンジック分析者は、この欠陥により、認証されていないリモートの任意の行為者がチェックアウトインターフェースに直接悪意のあるJavaScriptペイロードを注入できることを報告しました。攻撃者はこれらの違法スクリプトを、一般的なGoogle Tag Manager分析ツールに緻密に偽装し、ウェブサイト管理者が正規のマーケティングテレメトリの中でこの破壊行為を頻繁に見落とすようにします。
ストアが侵害されると、不正なスクリプトはすべての支払いレイアウトで初期化され、クレジットカード番号、CVVコード、請求先住所、および顧客の関連する個人識別情報(PII)を密かに傍受します。
この欠陥はバージョン3.15.0.3より前のFunnel Builderのすべてのバージョンに影響します。脆弱性は公開チェックアウトインターフェースアーキテクチャ内に存在し、明示的な権限検証なしにプラグイン内部のメソドロジーの実行を誤って許可していました。この構造的欠陥を悪用して、侵入者はFunnelKitのグローバル設定を直接操作し、外部スクリプトリポジトリに任意のスクリプトを追加できました。
FunnelKitの開発者はその後、決定的な修復を展開しました。更新されたバージョンは、チェックアウトインターフェース経由での呼び出しが認可された許可可能な内部メソドロジーの厳密なホワイトリストと共に、厳密なアクセス制御検証を実装します。
フォレンジック調査中、専門家はGoogle Tag Managerローダーに偽装した悪意のあるペイロードを分離しました。スクリプトはドメインanalytics-reports[.]comから外部ファイルを取得するためのアウトバウンド接続を確立し、その後protect-wss[.]comのコマンド&コントロールノードとWebSocketチャネルを開きました。このトンネルを通じて、侵害されたストアフロントはターゲットウェブサイトの特定のアーキテクチャに合わせてカスタマイズされたカスタムデジタルスキマーを取り込みました。
このようなGoogleユーティリティスイートの偽造パターンはMagecartコレクティブの長年の特徴的なタクティックです。監査人は通常、馴染みのある見た目の分析スクリプトを無視し、悪意のあるアーキテクチャが長期間にわたって検出されずに持続することを可能にします。
FunnelKitはユーザーベースに緊急に対し、WordPressの管理ダッシュボード経由でプラグイン更新を直ちに急ぐよう勧告し、同時に設定→チェックアウト→外部スクリプトパスを監査して曖昧または認識されないコードブロックを削除するよう促しています。Sansecはさらに、基盤となるサーバインフラストラクチャの包括的なマルウェアおよびバックドアスキャンを推奨しています。ストアフロントエコシステムの一部がすでに永続的な侵害を保有している可能性があるためです。
