Злоумышленники активно используют брешь в популярном плагине для воронок продаж, чтобы воровать банковские данные покупателей. Речь идёт о решении Funnel Builder от компании FunnelKit - инструменте, который установлен более чем на 40 тысячах сайтов на платформе WooCommerce (система управления интернет-торговлей на базе WordPress). Проблема затрагивает все версии плагина ниже 3.15.0.3. Разработчики уже выпустили исправление, но тысячи магазинов остаются уязвимыми, если не установили обновление.
Описание
Суть уязвимости кроется в том, что атакующий без какой‑либо авторизации может внедрить произвольный JavaScript-код на страницу оформления заказа. Это стало возможным из‑за отсутствия проверки прав доступа к внутренним методам плагина. В нормальной ситуации публичный эндпоинт (точка входа для внешних запросов) должен вызывать только разрешённые функции. В старых версиях Funnel Builder такого ограничения нет. Злоумышленник отправляет неаутентифицированный запрос, который напрямую обращается к методу, записывающему данные в глобальные настройки плагина. В частности, в поле "External Scripts" (внешние скрипты). Всё, что попадает в эту настройку, затем автоматически выводится на каждой странице корзины и оформления заказа, созданной с помощью Funnel Builder. Таким образом, злоумышленнику достаточно вставить вредоносный тег "<script>", и он будет выполняться на всех транзакциях магазина.
Специалисты компании Sansec, занимающейся мониторингом безопасности электронной коммерции, обнаружили активную эксплуатацию этой бреши в реальных атаках. По их данным, вредоносный код маскируется под обычный скрипт Google Tag Manager - стандартный инструмент для управления тегами аналитики. Атакующие записывают в настройки плагина JavaScript, который внешне неотличим от легитимного кода отслеживания. При загрузке страницы этот скрипт декодирует строку в формате Base64 и подгружает с удалённого сервера дополнительный модуль. В свою очередь, тот модуль открывает WebSocket (протокол двусторонней связи через постоянное соединение) к командному серверу злоумышленников. Через этот канал передаётся персонализированный скиммер - программа, которая перехватывает данные банковских карт, вводимые покупателем: номер карты, CVV-код, платёжный адрес и другую личную информацию.
Такая техника - маскировка скиммера под код Google Analytics или Tag Manager - хорошо известна специалистам по информационной безопасности. Она относится к типичным приёмам группы Magecart, которая специализируется на краже данных из онлайн-касс. Дело в том, что владельцы магазинов и их поставщики платёжных услуг привыкли видеть на страницах множество скриптов аналитики. Вредоносный код, замаскированный под знакомый трекер, легко проскальзывает мимо внимания при проверке. В описанном случае злоумышленники даже разместили свой скрипт рядом с настоящими маркетинговыми тегами магазина, чтобы вызвать ещё меньше подозрений.
Последствия успешной атаки - прямая угроза для клиентов интернет-магазина. Украденные данные банковских карт могут быть использованы для несанкционированных списаний, проданы на теневых форумах или применены в дальнейших мошеннических схемах. Для самого магазина это означает потерю доверия покупателей, возможные юридические последствия из‑за нарушения закона о защите персональных данных, а также репутационный ущерб, который сложно исправить.
Компания FunnelKit оперативно отреагировала на инцидент. В версии 3.15.0.3 добавлена проверка прав доступа к критическим методам, а список разрешённых функций теперь строго ограничен. Разработчики обратились ко всем пользователям с настоятельной рекомендацией как можно скорее обновить плагин. Кроме того, они советуют дополнительно проверить раздел настроек "Checkout → External Scripts" и удалить любые скрипты, которые выглядят подозрительно или незнакомо. Это разумная предосторожность, способная выявить уже внедрённую вредоносную нагрузку даже в магазинах, которые ещё не обновились.
Ситуация с плагином Funnel Builder - очередное напоминание о том, насколько уязвимыми могут быть популярные расширения для систем электронной коммерции. Разработчикам необходимо тщательно тестировать свой код на предмет пропущенных проверок прав доступа, а администраторам интернет-магазинов - своевременно устанавливать патчи. Пока уязвимость существует хотя бы на одном сайте, злоумышленники будут искать способы её использовать. В данном случае атаки уже идут, и каждый день промедления с обновлением увеличивает риск утечки платёжных данных тысяч покупателей.
Индикаторы компрометации
URLs
- analytics-reports.com/wss/jquery-lib.js
WebSockets Secure
- wss://protect-wss.com/ws
