Aktyviai išnaudojamas kritinis „WordPress“ kanalo kūrimo įskiepio pažeidžiamumas, siekiant į „WooCommerce“ patikros puslapius įterpti kenkėjiškų „JavaScript“ fragmentų.
Defektas negavo oficialaus identifikatoriaus ir gali būti naudojamas be autentifikavimo. Tai turi įtakos visoms papildinio versijoms iki 3.15.0.3.
Funnel Builder yra „WooCommerce Checkout“ sukurtas „FunnelKit“ sukurtas „WordPress“ papildinys, pirmiausia naudojamas patikros puslapiams tinkinti, naudojant tokias funkcijas kaip pardavimas vienu spustelėjimu, nukreipimo puslapiai ir konversijų rodiklių optimizavimas.
Remiantis WordPress.org statistika, kanalo kūrimo priemonės papildinys yra aktyvus daugiau nei 40 000 svetainių.
El. prekybos saugos įmonė „Sansec“ aptiko kenkėjišką veiklą ir pastebėjo, kad naudingoji apkrova (analytics-reports(.)com/wss/jquery-lib.js) yra užmaskuota kaip netikras „Google“ žymų tvarkytuvės / „Google Analytics“ scenarijus, kuris atidaro „WebSocket“ ryšį su išorine vieta (wss://protect-wss(.)com/ws).
Užpuolikas gali jį išnaudoti, kad pakeistų visuotinius papildinio nustatymus naudodamas neapsaugotą, viešai atskleistą patikros galutinį tašką. Tai leidžia jiems įterpti savavališką „JavaScript“ į papildinio nustatymą „Išoriniai scenarijai“, todėl kenkėjiškas kodas paleidžiamas kiekviename atsiskaitymo puslapyje.
„Sansec“ teigimu, užpuoliko valdomas serveris pateikia pritaikytą mokėjimo kortelių skimmerį, kuris pavagia šią informaciją:
- Kredito kortelių numeriai
- CVV
- Atsiskaitymo adresai
- Kita klientų informacija
Mokėjimo kortelių nuskaitymo priemonės suteikia grėsmės subjektams galimybę nesąžiningai pirkti internetu, o pavogti įrašai dažnai parduodami atskirai arba dideliais kiekiais tamsiuose interneto portaluose, vadinamuose kortelių rinkomis.
„FunnelKit“ pašalino vakar išleistos „Funel Builder“ 3.15.0.3 versijos pažeidžiamumą.
Pardavėjo saugos patarimas, kurį matė „Sansec“, patvirtina kenkėjišką veiklą, sakydamas, kad „mes nustatėme problemą, dėl kurios blogi aktoriai galėjo įvesti scenarijus“.
Pardavėjas rekomenduoja svetainių savininkams ir administratoriams teikti pirmenybę naujinimui į naujausią versiją iš „WordPress“ prietaisų skydelio, taip pat peržiūrėti „Nustatymai“ > „Checkout“ > „External Scripts“ ir ieškoti galimų nesąžiningų scenarijų, kuriuos galėjo pridėti užpuolikas.
Automatiniai tikrinimo įrankiai suteikia tikrą vertę, tačiau jie buvo sukurti siekiant atsakyti į vieną klausimą: ar užpuolikas gali judėti tinkle? Jie nebuvo sukurti siekiant patikrinti, ar jūsų valdikliai blokuoja grėsmes, ar suveikia aptikimo taisyklės, ar galioja debesies konfigūracijos.
Šis vadovas apima 6 paviršius, kuriuos iš tikrųjų reikia patvirtinti.
Atsisiųskite dabar
