WordPress 用の Funnel Builder プラグインの重大な脆弱性が、WooCommerce チェックアウト ページに悪意のある JavaScript スニペットを挿入するために積極的に悪用されています。
この欠陥は正式に特定されていないため、検証なしで悪用される可能性があります。これは、3.15.0.3 より前のすべてのバージョンのプラグインに影響します。
Funnel Builder は、FunnelKit によって開発された WoCommerce Checkout WordPress プラグインで、主にワンクリック再販、ランディング ページなどの機能を備えたチェックアウト ページをカスタマイズし、コンバージョン率を最適化するために使用されます。
WordPress.org の統計に基づくと、Funnel Builder プラグインは 40,000 以上のサイトでアクティブです。
電子商取引セキュリティ会社 Sansec は、悪意のあるアクティビティを検出し、ペイロード (分析レポート)[.]com/wss/jquery-lib.js) は、外部の場所 (wss://protect-wss) への WebSocket 接続を開く偽の Google タグ マネージャー/Google アナリティクス スクリプトとして偽装されます。[.]com/ws)。
攻撃者はこれを悪用し、保護されていない公開されたエンドポイントを使用してプラグインのグローバル設定を変更する可能性があります。これにより、プラグインの「外部スクリプト」設定に任意の JavaScript を挿入することが可能になり、すべてのチェックアウト ページで悪意のあるコードが実行されるようになります。
Sansec によると、攻撃者が制御するサーバーは、次の情報を盗むカスタム ペイメント カード スキマーを提供します。
- クレジットカード番号
- CVV
- 請求先住所
- お客様に関するその他の情報
ペイメント カード スキマーを使用すると、攻撃者は不正なオンライン購入を行うことができ、盗まれた記録はチケット マーケットとして知られるダーク ウェブ ポータルで個別にまたは一括で販売されることがよくあります。
FunnelKit は、昨日リリースされた Funnel Builder バージョン 3.15.0.3 の脆弱性に対処しました。
Sansec が確認したベンダーからのセキュリティ勧告では、「悪意のある者によるスクリプトの挿入を可能にする問題を特定した」と悪意のある活動が確認されています。
ベンダーは、Web サイトの所有者と Web マスターが WordPress ダッシュボードから最新バージョンに更新することを優先し、攻撃者によって追加された潜在的な不正なスクリプトがないか[設定]>[チェックアウト]>[外部スクリプト]を確認することを推奨しています。
自動テスト ツールは実際の価値を提供しますが、「攻撃者はネットワークを通過できるか?」という 1 つの質問に答えるために構築されています。これらは、コントロールが脅威をブロックしていること、検出ルールが機能していること、またはクラウド構成が適切であることを確認するために構築されたものではありません。
このガイドでは、実際に検証する必要がある 6 つの表面について説明します。
今すぐダウンロード
