- 27,514
- 46
- 8 Ноя 2022
WordPress снова в заголовках. И снова не по хорошему поводу.
Владельцы интернет-магазинов на WordPress оказались под ударом из-за критической уязвимости в плагине Funnel Builder от FunnelKit. Проблема затрагивает более 40 тысяч магазинов на WooCommerce , а злоумышленники уже начали использовать брешь для кражи банковских данных покупателей.
Специалисты Sansec сообщили, что уязвимость позволяет любому внешнему пользователю без авторизации внедрить вредоносный JavaScript-код на страницы оформления заказов. Атакующие маскируют вредоносные скрипты под обычные инструменты аналитики Google Tag Manager , поэтому владельцы сайтов часто не замечают подмену среди легитимных маркетинговых тегов.
После заражения магазина скрипт загружается на каждой странице оплаты и перехватывает номера банковских карт, CVV-коды, платёжные адреса и другие персональные данные покупателей.
Проблема затрагивает версии Funnel Builder ниже 3.15.0.3. Уязвимость связана с публичным интерфейсом оформления заказа, который позволял вызывать внутренние методы плагина без проверки прав доступа. Благодаря этому злоумышленники могли напрямую изменять глобальные настройки FunnelKit и добавлять собственные скрипты в раздел External Scripts.
Разработчики FunnelKit уже выпустили исправление. В новой версии появилась проверка прав доступа, а также список разрешённых внутренних методов, которые можно вызывать через интерфейс оформления заказа.
В ходе расследования специалисты обнаружили вредоносный код, выдававший себя за загрузчик Google Tag Manager. Скрипт подключал внешний файл с домена analytics-reports[.]com, а затем устанавливал WebSocket-соединение с сервером protect-wss[.]com. Через это соединение магазин получал индивидуальный скиммер, адаптированный под конкретный сайт.
Подобная маскировка под сервисы Google давно применяется группировками Magecart . Проверяющие часто игнорируют знакомо выглядящие аналитические скрипты, из-за чего вредоносный код может оставаться незамеченным длительное время.
FunnelKit призвала пользователей немедленно обновить плагины через панель WordPress, а также проверить раздел Settings → Checkout → External Scripts и удалить любые подозрительные или незнакомые скрипты. Sansec дополнительно рекомендует сканировать сайты на наличие вредоносного ПО и бэкдоров, поскольку часть магазинов уже могла оказаться заражена.
Владельцы интернет-магазинов на WordPress оказались под ударом из-за критической уязвимости в плагине Funnel Builder от FunnelKit. Проблема затрагивает более 40 тысяч магазинов на WooCommerce , а злоумышленники уже начали использовать брешь для кражи банковских данных покупателей.
Специалисты Sansec сообщили, что уязвимость позволяет любому внешнему пользователю без авторизации внедрить вредоносный JavaScript-код на страницы оформления заказов. Атакующие маскируют вредоносные скрипты под обычные инструменты аналитики Google Tag Manager , поэтому владельцы сайтов часто не замечают подмену среди легитимных маркетинговых тегов.
После заражения магазина скрипт загружается на каждой странице оплаты и перехватывает номера банковских карт, CVV-коды, платёжные адреса и другие персональные данные покупателей.
Проблема затрагивает версии Funnel Builder ниже 3.15.0.3. Уязвимость связана с публичным интерфейсом оформления заказа, который позволял вызывать внутренние методы плагина без проверки прав доступа. Благодаря этому злоумышленники могли напрямую изменять глобальные настройки FunnelKit и добавлять собственные скрипты в раздел External Scripts.
Разработчики FunnelKit уже выпустили исправление. В новой версии появилась проверка прав доступа, а также список разрешённых внутренних методов, которые можно вызывать через интерфейс оформления заказа.
В ходе расследования специалисты обнаружили вредоносный код, выдававший себя за загрузчик Google Tag Manager. Скрипт подключал внешний файл с домена analytics-reports[.]com, а затем устанавливал WebSocket-соединение с сервером protect-wss[.]com. Через это соединение магазин получал индивидуальный скиммер, адаптированный под конкретный сайт.
Подобная маскировка под сервисы Google давно применяется группировками Magecart . Проверяющие часто игнорируют знакомо выглядящие аналитические скрипты, из-за чего вредоносный код может оставаться незамеченным длительное время.
FunnelKit призвала пользователей немедленно обновить плагины через панель WordPress, а также проверить раздел Settings → Checkout → External Scripts и удалить любые подозрительные или незнакомые скрипты. Sansec дополнительно рекомендует сканировать сайты на наличие вредоносного ПО и бэкдоров, поскольку часть магазинов уже могла оказаться заражена.
- Источник новости
- www.securitylab.ru
