Kritische Lücke in WordPress-Plugin Funnel Builder für Kreditkarten-Skimming ausgenutzt

Zusammenfassung

Eine kritische Schwachstelle im WordPress-Plugin Funnel Builder wird derzeit aktiv ausgenutzt, um schädliche JavaScript-Schnipsel in die Bezahlseiten von WooCommerce-Shops einzuschleusen. Die Lücke betrifft alle Plugin-Versionen vor 3.15.0.3 und lässt sich ohne vorherige Authentifizierung ausnutzen. Eine offizielle Kennung wurde bislang nicht vergeben. Funnel Builder stammt vom Anbieter FunnelKit und dient dazu, WooCommerce-Bezahlseiten anzupassen – mit Funktionen wie Upsells per Klick, Landing-Pages und der Optimierung von Konversionsraten. Nach Angaben von WordPress.org ist das Plugin auf mehr als 40.000 Websites aktiv im Einsatz. Die aktive Ausnutzung entdeckte das auf E-Commerce-Sicherheit spezialisierte Unternehmen Sansec. Über einen ungeschützten, öffentlich erreichbaren Checkout-Endpunkt können Angreifer die globalen Einstellungen des Plugins verändern und beliebigen JavaScript-Code in die Einstellung „External Scripts“ einfügen. Der Schadcode wird daraufhin auf jeder Bezahlseite ausgeführt. FunnelKit hat die Schwachstelle mit Version 3.15.0.3 behoben, die laut Sansec einen Tag zuvor erschien.

Laut Sansec tarnt sich die eingeschleuste Schadlast (analytics-reports[.]com/wss/jquery-lib.js) als gefälschtes Skript von Google Tag Manager beziehungsweise Google Analytics. Tatsächlich öffnet es eine WebSocket-Verbindung zu einer externen Adresse (wss://protect-wss[.]com/ws).

Der eigentliche Angriff setzt am Checkout-Endpunkt an: Weil dieser ungeschützt und öffentlich erreichbar ist, können Angreifer ohne Authentifizierung die globalen Plugin-Einstellungen manipulieren. Über die Einstellung „External Scripts“ schleusen sie beliebigen JavaScript-Code ein, der anschließend bei jedem Aufruf einer Bezahlseite ausgeführt wird.

Von dem durch die Angreifer kontrollierten Server wird nach Angaben von Sansec ein angepasster Kreditkarten-Skimmer ausgeliefert, der die eingegebenen Zahlungsdaten abgreift. Solche Skimmer ermöglichen es Tätern, betrügerische Online-Einkäufe zu tätigen; die gestohlenen Datensätze werden häufig einzeln oder im Paket auf Darknet-Portalen gehandelt, die als Carding-Märkte bekannt sind.

FunnelKit hat die Schwachstelle mit der Version 3.15.0.3 von Funnel Builder geschlossen. In einer Sicherheitsmitteilung, die Sansec vorlag, bestätigt der Anbieter die schädliche Aktivität: Man habe ein Problem festgestellt, das es Angreifern erlaubt habe, Skripte einzuschleusen.

Der Anbieter rät Website-Betreibern und Administratoren, vorrangig über das WordPress-Dashboard auf die neueste Version zu aktualisieren. Zusätzlich sollten sie unter „Settings > Checkout > External Scripts“ prüfen, ob dort von Angreifern eingefügte, unerwünschte Skripte hinterlegt wurden.

Kritische Lücke in WordPress-Plugin Funnel Builder für Kreditkarten-Skimming ausgenutzt

Ähnliche Artikel

Neueste Artikel