Een kritieke kwetsbaarheid in de Funnel Builder plugin voor WordPress wordt actief misbruikt om schadelijke JavaScript-code te injecteren in WooCommerce-checkoutpagina's. Deze kwetsbaarheid, die geen officiële identifier heeft en zonder authenticatie kan worden uitgebuit, treft alle versies van de plugin vóór 3.15.0.3.

Funnel Builder is een plugin ontwikkeld door FunnelKit, bedoeld om WooCommerce-checkoutpagina's te personaliseren met functies zoals one-click upsells en landingspagina's, en wordt volgens statistieken van WordPress.org op meer dan 40.000 websites gebruikt. De e-commerce beveiligingsspecialist Sansec ontdekte de kwaadaardige activiteit en constateerde dat de schadelijke payload (analytics-reports[.]com/wss/jquery-lib.js) zich voordoet als een nep Google Tag Manager/Google Analytics-script. Dit script opent een WebSocket-verbinding naar een externe server (wss://protect-wss[.]com/ws).

De kwetsbaarheid maakt het mogelijk voor aanvallers om via een onbeschermde, publiek toegankelijke checkout-endpoint de globale instellingen van de plugin aan te passen. Hierdoor kunnen zij willekeurige JavaScript-code injecteren in de instelling “External Scripts” van de plugin, waardoor kwaadaardige code op elke checkoutpagina wordt uitgevoerd. Volgens Sansec levert de door de aanvaller gecontroleerde server een aangepaste payment card skimmer die creditcardnummers, CVV-codes, factuuradressen en andere klantgegevens steelt.

Payment card skimmers worden door kwaadwillenden gebruikt om frauduleuze online aankopen te doen. De gestolen gegevens worden vaak afzonderlijk of in bulk verhandeld op darkwebmarkten, ook wel carding markets genoemd. FunnelKit heeft de kwetsbaarheid verholpen in versie 3.15.0.3 van Funnel Builder, die gisteren is uitgebracht. Een security advisory van de leverancier, ingezien door Sansec, bevestigt de kwaadaardige activiteit en meldt dat "we een probleem hebben vastgesteld waardoor kwaadwillenden scripts konden injecteren." Website-eigenaren en beheerders worden dringend geadviseerd om zo snel mogelijk te updaten via het WordPress-dashboard en de instelling Instellingen > Checkout > External Scripts te controleren op mogelijk toegevoegde malafide scripts.