Критическая уязвимость в плагине Funnel Builder для WordPress активно эксплуатируется в сети, позволяя внедрять вредоносные фрагменты JavaScript на страницы оформления заказа WooCommerce.
Уязвимость пока не получила официального идентификатора и может быть использована без аутентификации. Она затрагивает все версии плагина до 3.15.0.3.
Funnel Builder — это WordPress-плагин для WooCommerce Checkout, разработанный компанией FunnelKit. В основном он используется для настройки страниц оформления заказа и предлагает такие функции, как апселлинг в один клик, лендинги и оптимизацию коэффициента конверсии.
Согласно статистике WordPress.org, плагин Funnel Builder активен более чем на 40 000 веб-сайтов.
Компания Sansec, специализирующаяся на безопасности электронной коммерции, обнаружила вредоносную активность и заметила, что дополнительная нагрузка (analytics-reports[.]com/wss/jquery-lib.js) замаскирована под поддельный скрипт Google Tag Manager/Google Analytics, который открывает WebSocket-соединение с внешним адресом (wss://protect-wss[.]com/ws).
Злоумышленник может использовать уязвимость для изменения глобальных настроек плагина через незащищенную, общедоступную конечную точку оформления заказа. К примеру, он может внедрить произвольный JavaScript в настройку «External Scripts» плагина, что приводит к выполнению вредоносного кода на каждой странице оформления заказа.
По данным Sansec, контролируемый злоумышленником сервер распространяет модифицированный скиммер для платежных карт, который крадет следующую информацию:
- Номера банковских карт
- CVV-коды
- Платежные адреса
- Другие данные о клиентах
Скиммеры для платежных карт позволяют злоумышленникам совершать мошеннические онлайн-покупки, а украденные данные часто продаются по отдельности или оптом на порталах даркнета, известных как кардинговые рынки.
Компания FunnelKit устранила уязвимость в версии 3.15.0.3 Funnel Builder, выпущенной вчера.
В уведомлении о безопасности от поставщика, с которым ознакомилась Sansec, подтверждается вредоносная активность: «Мы выявили проблему, которая давала возможность злоумышленникам внедрять скрипты».
Поставщик плагина рекомендует владельцам и администраторам веб-сайтов обновиться до последней версии через панель управления WordPress, а также проверить раздел Settings > Checkout > External Scripts на предмет потенциально вредоносных скриптов, которые мог добавить злоумышленник.
Источник: https://www.bleepingcomputer.com
