Kerentanan kritis pada plugin Funnel Builder untuk WordPress sedang dieksploitasi secara aktif untuk memasukkan cuplikan JavaScript berbahaya ke halaman checkout WooCommerce.
Cacat tersebut belum menerima pengenal resmi dan dapat dimanfaatkan tanpa otentikasi. Ini mempengaruhi semua versi plugin sebelum 3.15.0.3.
Funnel Builder adalah plugin WordPress untuk WooCommerce Checkout yang dikembangkan oleh FunnelKit, terutama digunakan untuk menyesuaikan halaman checkout, dengan fitur seperti peningkatan penjualan sekali klik, halaman arahan, dan untuk mengoptimalkan tingkat konversi.
Berdasarkan statistik dari WordPress.org, plugin Funnel Builder adalah aktif di lebih dari 40.000 situs web.
Perusahaan keamanan e-commerce Sansec mendeteksi aktivitas jahat dan memperhatikan bahwa payload (analytics-reports[.]com/wss/jquery-lib.js) disamarkan sebagai skrip Google Pengelola Tag/Google Analytics palsu yang membuka koneksi WebSocket ke lokasi eksternal (wss://protect-wss[.]com/ws).
Penyerang dapat mengeksploitasinya untuk mengubah pengaturan global plugin melalui titik akhir checkout yang tidak dilindungi dan diekspos secara publik. Hal ini memungkinkan mereka untuk memasukkan JavaScript sewenang-wenang ke dalam pengaturan “Skrip Eksternal” plugin, menyebabkan kode berbahaya dieksekusi pada setiap halaman checkout.
Menurut Sansec, server yang dikendalikan penyerang mengirimkan skimmer kartu pembayaran khusus yang mencuri informasi berikut:
- Nomor kartu kredit
- CVV
- Alamat penagihan
- Informasi pelanggan lainnya
Skimmer kartu pembayaran memungkinkan pelaku ancaman melakukan pembelian online yang curang, sementara data yang dicuri sering kali dijual secara terpisah atau dalam jumlah besar di portal web gelap yang dikenal sebagai pasar carding.
FunnelKit mengatasi kerentanan pada Funnel Builder versi 3.15.0.3, yang dirilis kemarin.
Penasihat keamanan dari vendor, yang dilihat oleh Sansec, mengonfirmasi aktivitas jahat tersebut, dengan mengatakan “kami mengidentifikasi masalah yang memungkinkan pelaku jahat memasukkan skrip.”
Vendor merekomendasikan agar pemilik dan administrator situs web memprioritaskan pembaruan ke versi terbaru dari dasbor WordPress dan juga meninjau Pengaturan > Checkout > Skrip Eksternal untuk mengetahui kemungkinan skrip jahat yang mungkin ditambahkan penyerang.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
