Работает даже при белом списке
Image

MAX. SecurityLab. Белый список. Ваш сисадмин ничего не запретит — и это его будет бесить

Мы пишем про взломы, утечки и катастрофы — и делаем это лучше всех. Скромно, но это правда. Проверьте сами, вам несложно.

«Добро пожаловать, мы Google». Хакеры втёрлись в доверие к 40000 интернет-магазинов и утащили данные карт

7060
WordPress Funnel Builder WooCommerce интернет-магазин уязвимость
«Добро пожаловать, мы Google». Хакеры втёрлись в доверие к 40000 интернет-магазинов и утащили данные карт
WordPress Funnel Builder WooCommerce интернет-магазин уязвимость

WordPress снова в заголовках. И снова не по хорошему поводу.

image

Владельцы интернет-магазинов на WordPress оказались под ударом из-за критической уязвимости в плагине Funnel Builder от FunnelKit. Проблема затрагивает более 40 тысяч магазинов на WooCommerce, а злоумышленники уже начали использовать брешь для кражи банковских данных покупателей.

Специалисты Sansec сообщили, что уязвимость позволяет любому внешнему пользователю без авторизации внедрить вредоносный JavaScript-код на страницы оформления заказов. Атакующие маскируют вредоносные скрипты под обычные инструменты аналитики Google Tag Manager, поэтому владельцы сайтов часто не замечают подмену среди легитимных маркетинговых тегов.

После заражения магазина скрипт загружается на каждой странице оплаты и перехватывает номера банковских карт, CVV-коды, платёжные адреса и другие персональные данные покупателей.

Проблема затрагивает версии Funnel Builder ниже 3.15.0.3. Уязвимость связана с публичным интерфейсом оформления заказа, который позволял вызывать внутренние методы плагина без проверки прав доступа. Благодаря этому злоумышленники могли напрямую изменять глобальные настройки FunnelKit и добавлять собственные скрипты в раздел External Scripts.

Разработчики FunnelKit уже выпустили исправление. В новой версии появилась проверка прав доступа, а также список разрешённых внутренних методов, которые можно вызывать через интерфейс оформления заказа.

В ходе расследования специалисты обнаружили вредоносный код, выдававший себя за загрузчик Google Tag Manager. Скрипт подключал внешний файл с домена analytics-reports[.]com, а затем устанавливал WebSocket-соединение с сервером protect-wss[.]com. Через это соединение магазин получал индивидуальный скиммер, адаптированный под конкретный сайт.

Подобная маскировка под сервисы Google давно применяется группировками Magecart. Проверяющие часто игнорируют знакомо выглядящие аналитические скрипты, из-за чего вредоносный код может оставаться незамеченным длительное время.

FunnelKit призвала пользователей немедленно обновить плагины через панель WordPress, а также проверить раздел Settings → Checkout → External Scripts и удалить любые подозрительные или незнакомые скрипты. Sansec дополнительно рекомендует сканировать сайты на наличие вредоносного ПО и бэкдоров, поскольку часть магазинов уже могла оказаться заражена.