MalwareSchwachstellenCyberkriminalität

Kritische Sicherheitslücke im Funnel Builder WordPress-Plugin: Kreditkartendaten im Visier

Von CyberDeutsch Redaktion
Kritische Sicherheitslücke im Funnel Builder WordPress-Plugin: Kreditkartendaten im Visier
Zusammenfassung

Eine kritische Sicherheitslücke im WordPress-Plugin Funnel Builder wird derzeit aktiv ausgenutzt, um bösartige JavaScript-Code-Schnipsel in WooCommerce-Checkout-Seiten einzuschleusen. Das Plugin, das von über 40.000 Websites verwendet wird, ermöglicht es Nutzern, Checkout-Seiten zu optimieren und Konversionsraten zu erhöhen. Die Schwachstelle ermöglicht es Angreifern ohne Authentifizierung, über einen ungeschützten öffentlich zugänglichen Endpoint die Plugin-Einstellungen zu manipulieren und beliebigen JavaScript-Code einzufügen. Das Sicherheitsunternehmen Sansec hat beobachtet, dass Cyberkriminelle damit Zahlungskartenausspäher einbauen, die sensible Kartendaten wie Kartennummern, Verfallsdatum und CVV-Code abfangen. Die gestohlenen Daten werden anschließend für betrügerische Transaktionen genutzt oder auf Dark-Web-Märkten verkauft. Alle Plugin-Versionen vor 3.15.0.3 sind betroffen. Der Hersteller FunnelKit hat das Problem mit der Veröffentlichung einer Patch-Version behoben. Deutsche Onlineshops und E-Commerce-Unternehmen, die dieses beliebte Plugin einsetzen, sollten sofort auf die neueste Version aktualisieren und ihre Checkout-Einstellungen auf verdächtige, eingefügte Skripte überprüfen, um finanzielle Schäden und Vertrauensverluste zu verhindern.

Die Sicherheitslücke im Funnel Builder Plugin betrifft alle Versionen vor 3.15.0.3 und ist besonders kritisch, da sie keine Authentifizierung erfordert. Angreifer können über einen ungeschützten, öffentlich zugänglichen Checkout-Endpunkt auf die globalen Einstellungen des Plugins zugreifen und beliebigen JavaScript-Code in die “External Scripts”-Einstellung injizieren. Dies führt dazu, dass der Malware-Code auf jeder Checkout-Seite ausgeführt wird.

Der injizierte Payload (analytics-reports[.]com/wss/jquery-lib.js) ist besonders tückisch: Er versteckt sich als legitimes Google Tag Manager- oder Google Analytics-Skript und öffnet eine WebSocket-Verbindung zu einem Angreifer-kontrollierten Server (wss://protect-wss[.]com/ws). Von dort aus wird ein spezialisierter Payment-Card-Skimmer heruntergeladen, der Zahlungsdaten der Kunden beim Checkout erfasst und abfängt.

FunnelKit hat das Problem inzwischen in Version 3.15.0.3 behoben, welche am vergangenen Tag veröffentlicht wurde. Das Unternehmen bestätigte in einer Sicherheitsmitteilung, dass “eine Schwachstelle identifiziert wurde, die es böswilligen Akteuren ermöglichte, Skripte einzuschleusen”.

Website-Betreiber und Administratoren werden dringend aufgefordert, ihre Installationen sofort über das WordPress-Dashboard zu aktualisieren. Darüber hinaus ist eine sofortige Überprüfung erforderlich: Unter Einstellungen > Checkout > External Scripts sollten potenzielle bösartige Skripte aufgespürt und entfernt werden, die Angreifer möglicherweise bereits hinzugefügt haben.

Für deutsche E-Commerce-Unternehmen ist dies ein kritischer Weckruf. Kompromittierte Kundendaten bedeuten nicht nur reputationalen Schaden und Vertrauensverlust, sondern auch erhebliche rechtliche Konsequenzen. Nach der DSGVO besteht eine Meldepflicht gegenüber Aufsichtsbehörden wie dem Bundesdatenschutzbeauftragten (BfDI), wenn personenbezogene Daten betroffen sind. Die möglichen Bußgelder bis zu 4 Prozent des Jahresumsatzes können für mittlere und große Unternehmen erhebliche finanzielle Belastungen bedeuten.

Sicherheitsexperten warnen zudem, dass solche Plugin-Schwachstellen verstärkt Teil von Supply-Chain-Attacken sind, bei denen beliebte Software als Angriffsvektoren missbraucht wird. Das BSI empfiehlt, regelmäßige Sicherheitsupdates prioritär einzuspielen und Plugins kontinuierlich zu überwachen.

Ähnliche Artikel