Auf den Punkt: Eine ungeschützte Sicherheitslücke im Funnel-Builder-Plugin für WordPress wird aktiv ausgenutzt, um einen Payment-Card-Skimmer in WooCommerce-Checkout-Seiten einzuschleusen und Kreditkartendaten sowie CVV-Codes zu stehlen.
Eine schwerwiegende Sicherheitsverletzung im WordPress-Plugin Funnel Builder wird derzeit in der freien Natur ausgenutzt, um bösartiges JavaScript in WooCommerce-Checkoutseiten einzuschleusen. Die Lücke kann ohne Authentifizierung und ohne offizielles CVE-Kennzeichen ausgenutzt werden und betroffene alle Plugin-Versionen vor 3.15.
Das WordPress-Plugin Funnel Builder wird vom Anbieter FunnelKit entwickelt und dient hauptsächlich der Anpassung von Checkout-Seiten. Es verfügt über leistungsstarke Funktionen wie One-Click-Upsells und spezialisierte Landing Pages zur Steigerung der Konversionsraten. Nach Angaben von WordPress.org ist das Plugin auf über 40.000 Websites aktiv.
Das E-Commerce-Sicherheitsunternehmen Sansec hat die bösartige Aktivität identifiziert und festgestellt, dass die bösartige Nutzlast von analytics-reports[.]com/wss/jquery-lib bereitgestellt wird. Das JavaScript gibt sich als gefälschtes Google-Tag-Manager- oder Google-Analytics-Skript aus und öffnet eine WebSocket-Verbindung zu einem externen Server unter wss://protect-wss[.].
Die Sicherheitslücke ermöglicht es Angreifern, die globalen Einstellungen des Plugins über einen ungeschützten, öffentlich zugänglichen Checkout-Endpunkt zu manipulieren. Dies führt zur Einschleusung von willkürlichem JavaScript in die “External Scripts”-Einstellung des Plugins, wodurch bösartiger Code auf jeder Checkout-Seite ausgeführt wird.
Der vom Angreifer kontrollierte Server verbreitet einen maßgeschneiderten Payment-Card-Skimmer, der folgende Daten abgreift: Kreditkartendaten und CVV-Codes.