重大な脆弱性により、40,000以上のWooCommerceストアフロントのセキュリティが侵害され、サイバー犯罪者が決済時に顧客の支払いデータを静かに盗むことができるようになっています。
攻撃はすでに進行中であり、人気のあるFunnelKit「Funnel Builder」プラグインの重大な欠陥を利用して、通常のマーケティングツールに偽装した隠蔽された決済スキマーを注入しています。
オンライン小売業者にとって、この能動的な攻撃は消費者信頼と金融セキュリティに対する大きな脅威となっています。
Sansecの脅威研究者は、現在Funnel Builderを標的とした能動的なキャンペーンを追跡しており、これはWordPressのeコマース環境で広く使用されているチェックアウトおよびアップセルプラグインです。
このセキュリティ欠陥は3.15.0.3より前のすべてのプラグインバージョンに影響します。ユーザー権限が検証されていなかったため、認証されていない攻撃者は、影響を受けたストア全体のすべてのチェックアウトページに任意のJavaScriptコードをリモートから注入できます。
この脆弱性の根本原因は、Funnel Builderプラグインに含まれるパブリックなチェックアウトエンドポイントにあります。このエンドポイントは、受け入れたリクエストがどの内部メソッドを実行するかを選択することを許可しています。
残念ながら、古いリリースではコールの認可レベルをチェックしたり、実行が許可されるメソッドを制限したりすることができません。その結果、リモート攻撃者はプラグインのグローバル設定に直接悪意のあるデータを書き込む内部関数に到達できます。
「External Scripts」設定に設定されたものは、すべてのチェックアウトページに自動的に出力され、攻撃者はすべてのトランザクションで機密データをキャプチャする永続的なスクリプトを配置することができます。
サイバー犯罪者は、この欠陥を積極的に悪用して、プラグインの外部スクリプト設定に偽のGoogle Tag Managerスクリプトを配置しています。
無防備なウェブサイト管理者またはセキュリティスキャナーにとって、注入されたコードは、ストアの正当なマーケティングスクリプトのすぐ横にある通常の分析トラッキングタグのように見えます。しかし、この偽装されたコードは、非常に破壊的な決済スキマーを秘かにロードしています。
FunnelKitは、この重大なセキュリティ失敗に対処するため、パッチ適用されたバージョンのプラグインを正式にリリースしました。
パッチは、不足していた機能チェックを追加し、脆弱なエンドポイントを安全なメソッドの厳密なホワイトリストにロックダウンすることで、脆弱性を修正します。Sansecが述べた通りです。
プラグイン開発者は、すべてのお客様にWordPressダッシュボードからFunnelKitプラグインを3.15.0.3以上のバージョンに直ちに更新するよう促しています。
パッチの適用に加えて、サイト管理者はストア設定を手動で検査する必要があります。ウェブサイトオーナーは、設定>チェックアウトに移動し、外部スクリプトセクションを確認して、不慣れまたは疑わしいコードを削除する必要があります。
セキュリティ専門家は、隠れたバックドアや攻撃者がすでに残しているかもしれない残存する脅威を検出するために、特化したeコマースマルウェアスキャナーを実行することも推奨しています。
翻訳元: https://cyberpress.org/funnelkit-bug-exposes-stores/