SchwachstellenDatenschutzHackerangriffe

Kritische Sicherheitslücke im WordPress-Plugin Funnel Builder unter aktivem Missbrauch – Zahlungsdaten in Gefahr

Von CyberDeutsch Redaktion
Kritische Sicherheitslücke im WordPress-Plugin Funnel Builder unter aktivem Missbrauch – Zahlungsdaten in Gefahr
Zusammenfassung

Eine kritische Sicherheitslücke im WordPress-Plugin Funnel Builder wird derzeit aktiv ausgenutzt, um Zahlungsdaten von Kunden zu stehlen. Das Plugin wird in über 40.000 WooCommerce-Shops eingesetzt und weist eine Schwachstelle auf, die es unauthentifizierten Angreifern ermöglicht, beliebigen JavaScript-Code in Checkout-Seiten einzuschleusen. Die Angreifer tarnen ihre Malware geschickt als Google Tag Manager-Skripte und laden damit Payment-Skimmer, die Kreditkartennummern, CVV-Codes und Rechnungsadressen abfangen. Das Sicherheitsunternehmen Sansec dokumentierte, dass Cyberkriminelle über einen ungeschützten Checkout-Endpoint die fehlende Authentifizierungsprüfung ausnutzen und direkt Einstellungen des Plugins manipulieren. Die Schwachstelle betrifft alle Versionen vor 3.15.0.3. Für deutsche E-Commerce-Unternehmen, insbesondere kleinere und mittlere Online-Händler, die das Plugin nutzen, stellt dies ein erhebliches Risiko dar. Betroffene Shops sollten sofort auf die aktuelle Version aktualisieren und ihre externen Skripte überprüfen. Die Attacke zeigt ein wiederkehrendes Muster von Magecart-Angriffen, die Analysetools als Tarnung nutzen, um klassische Sicherheitsüberprüfungen zu umgehen.

Die Sicherheitsforscher von Sansec haben die aktiven Angriffskampagnen diese Woche öffentlich gemacht. Die Schwachstelle betrifft alle Versionen des Funnel Builder vor 3.15.0.3 und hat bislang keine offizielle CVE-Nummer erhalten. Der Entwickler FunnelKit hat bereits einen Patch veröffentlicht.

Die technische Schwachstelle liegt in einem unzureichend geschützten Checkout-Endpoint des Plugins. Dieser ermöglicht es unauthentifizierten Angreifern, eine beliebige interne Methode aufzurufen – ohne dass das Plugin die Berechtigung des Aufrufers prüft oder Einschränkungen für erlaubte Methoden setzt. Auf diese Weise können Kriminelle direkt Daten in die globalen Einstellungen des Plugins schreiben und beliebigen JavaScript-Code injizieren.

Besonders tückisch ist die Verschleierungstaktik: Die Angreifer tarnen ihre Malware als Google Tag Manager (GTM) oder Google Analytics Code. Da Website-Betreiber und Sicherheitsreviewer solche Tracking-Scripts übersehen, fällt der Betrug lange nicht auf. Der eingeschleuste Code öffnet anschließend eine WebSocket-Verbindung zu Servern der Angreifer (beispielsweise „wss://protect-wss[.]com/ws”) und lädt einen maßgeschneiderten Payment-Skimmer herunter.

Jedes Mal, wenn ein Kunde dann einen Kauf tätigt und seine Daten im Checkout eingibt, werden Kreditkartennummer, CVV, Billadresse und weitere Informationen an die Cyberkriminellen weitergeleitet.

Sansec zufolge handelt es sich bei dieser Angriffsform um ein bewährtes Muster der Magecart-Hackergruppe – einer bekannten Cyberkriminellen-Bande, die spezialisiert auf E-Commerce-Betrug ist.

Deutsche Shop-Betreiber sollten sofort handeln: Das Plugin muss auf Version 3.15.0.3 oder höher aktualisiert werden. Darüber hinaus ist eine manuelle Überprüfung aller eingegebenen externen Scripts unter „Einstellungen > Checkout > Externe Scripts” dringend erforderlich. Unbekannte oder verdächtige Script-Einträge müssen sofort entfernt werden. Besonders kritisch: Bereits kompromittierte Shops sollten ihre Sicherheitslogs überprüfen und Kunden benachrichtigen, falls Kartendaten betroffen waren – eine gesetzliche Pflicht nach deutschem und europäischem Datenschutzrecht.

Ähnliche Artikel