Μια σοβαρή ευπάθεια έχει έρθει στο φως σχετικά με την προσθήκη Funnel Builder για WordPress, η οποία έχει αξιοποιηθεί ήδη για την εισαγωγή κακόβουλων JavaScript κωδικών στις σελίδες ολοκλήρωσης αγορών του WooCommerce. Το συγκεκριμένο ελάττωμα δεν έχει αναγνωριστεί επίσημα και είναι προσβάσιμο χωρίς καμία έγκριση. Ιδιαίτερα, επηρεάζει όλους τους χρήστες της προσθήκης πριν από την έκδοση 3.15.0.3.
Ο Funnel Builder, ο οποίος έχει αναπτυχθεί από την FunnelKit, έχει σχεδιαστεί για να διευκολύνει τις διαδικτυακές πωλήσεις μέσω WooCommerce, επιτρέποντας στους χρήστες να προσαρμόζουν τις σελίδες ολοκλήρωσης αγορών, να δημιουργούν σελίδες προορισμού και να βελτιστοποιούν τα ποσοστά μετατροπών.
Σύμφωνα με στοιχεία από το WordPress.org, η προσθήκη Funnel Builder είναι ενεργή σε πάνω από 40.000 ιστότοπους.
Η εταιρεία Sansec, η οποία εστιάζει στην ασφάλεια ηλεκτρονικού εμπορίου, έχει αναφέρει την κακόβουλη δραστηριότητα που σχετίζεται με αυτήν την ευπάθεια, επισημαίνοντας ότι ο κώδικας (analytics-reports[.]com/wss/jquery-lib.js) έχει μεταμφιεστεί ως ψευδές script του Google Tag Manager/Google Analytics. Αυτός ο κώδικας ανοίγει μια σύνδεση WebSocket σε μια εξωτερική τοποθεσία (wss://protect-wss[.]com/ws).
Με την κατάλληλη εκμετάλλευση, οι επιτιθέμενοι έχουν τη δυνατότητα να τροποποιούν τις ρυθμίσεις της προσθήκης μέσω ενός δημοσίως προσβάσιμου σημείου ολοκλήρωσης αγοράς. Αυτό οδηγεί στην εισαγωγή κακόβουλου κώδικα στο τμήμα “Εξωτερικών σεναρίων” της προσθήκης, επιτρέποντας την εκτέλεση αυθαίρετης JavaScript σε όλες τις σελίδες ολοκλήρωσης αγοράς.
Σύμφωνα με πληροφορίες της Sansec, ο διακομιστής που ελέγχεται από τους εισβολείς περιέχει έναν ειδικά παραμετροποιημένο skimmer κάρτας πληρωμής, που κλέβει τα εξής:
- Αριθμούς πιστωτικών καρτών
- Προσωπικά δεδομένα
- Διευθύνσεις χρέωσης
- Άλλες πληροφορίες πελατών
Οι skimmers καρτών πληρωμής παρέχουν στους παραπάνω παράγοντες τη δυνατότητα να διενεργούν δόλιες διαδικτυακές αγορές. Τα κλεμμένα δεδομένα συνήθως πωλούνται είτε ξεχωριστά είτε σε ομαδικές πωλήσεις σε σκοτεινές ιστοσελίδες, γνωστές ως αγορές λαναρίσματος.
Η FunnelKit αντέδρασε στην ανακάλυψη της ευπάθειας με την κυκλοφορία της έκδοσης 3.15.0.3 του Funnel Builder μόλις χθες.
Σύμφωνα με μία συμβουλή ασφάλειας της εταιρείας, η οποία καταγράφηκε από τη Sansec, οι υπεύθυνοι δήλωσαν: “Ανακαλύψαμε ένα ζήτημα το οποίο επέτρεπε σε κακούς ηθοποιούς να εισάγουν σενάρια”.
Ο προμηθευτής προτείνει στους ιδιοκτήτες ιστοσελίδων να ενημερώνουν άμεσα την προσθήκη τους μέσω του πίνακα ελέγχου του WordPress και να ελέγχουν τις Ρυθμίσεις > Ολοκλήρωση αγοράς > Εξωτερικά σενάρια για πιθανόν κακόβουλους κώδικες που θα μπορούσε να έχει εισάγει ο εισβολέας.
Τα αυτοματοποιημένα εργαλεία διείσδυσης προσφέρουν πραγματική αξία, ωστόσο, δημιουργήθηκαν με έναν σαφή σκοπό: να εξετάσουν αν ένας εισβολέας μπορεί να διασχίσει το δίκτυο. Δεν είναι σχεδιασμένα για να ελέγχουν εάν οι ρυθμίσεις σας μπλοκάρουν τις απειλές, αν οι κανόνες ανίχνευσης ενεργοποιούνται ή αν διατηρούνται σωστά οι παραμετροποιήσεις του cloud.
Αυτός ο οδηγός αναλύει τις 6 επιφάνειες που πραγματικά χρειάζεται να επικυρώσετε.
