Se ha aprovechado una vulnerabilidad de seguridad crítica que afecta al complemento Funnel Builder para WordPress para inyectar código JavaScript malicioso en las páginas de pago de WooCommerce con el fin de robar datos de pago.
Sunsec anunció los detalles de las actividades esta semana. Esta vulnerabilidad actualmente no tiene un identificador CVE formal. Afecta a todas las versiones del complemento anteriores a la 3.15.0.3. Utilizado por más de 40.000 tiendas WooCommerce.
La falla permite a un atacante no autenticado inyectar JavaScript arbitrario en cualquier página de pago de una tienda, dijo la empresa holandesa de seguridad de comercio electrónico. FunnelKit, que gestiona Funnel Builder, ha lanzado un parche para la vulnerabilidad en la versión 3.15.0.3.
«El atacante incorpora un script falso de Google Tag Manager en la configuración de los ‘scripts externos’ del complemento», decía el periódico. «El código inyectado parece un análisis normal al lado de la etiqueta real de la tienda, pero carga un skimmer de pagos que roba números de tarjetas de crédito, CVV y direcciones de facturación de la caja».
Según Sansec, Funnel Builder incluye un punto final de pago expuesto que le permite elegir el tipo de método interno que ejecutan las solicitudes entrantes. Sin embargo, las versiones anteriores fueron diseñadas para no verificar los permisos de la persona que llama ni restringir qué métodos se podían llamar.
Un atacante malintencionado podría aprovechar esta vulnerabilidad emitiendo una solicitud no autenticada que llegue a un método interno no especificado que escriba datos controlados por el atacante directamente en la configuración global del complemento. El fragmento de código agregado se insertará en cada página de pago en Funnel Builder.
Como resultado, un atacante podría instalar un programa malicioso.
Sansec dijo que en al menos un caso, observó una carga útil disfrazada de un cargador de Google Tag Manager (GTM) que lanzaba JavaScript alojado en un dominio remoto. Luego abre una conexión WebSocket al servidor de comando y control (C2) del atacante (‘wss://protect-wss(.)com/ws’) y recupera un skimmer adaptado al escaparate de la víctima.
El objetivo final del ataque es desviar números de tarjetas de crédito, CVV, direcciones de facturación y otra información personal que los visitantes del sitio puedan ingresar durante el proceso de pago. Se recomienda a los propietarios del sitio que actualicen el complemento Funnel Builder a la última versión y verifiquen (Configuración) > (Pagar) > (Scripts externos) para detectar elementos desconocidos y eliminarlos.
«Disfrazar skimmers como código de Google Analytics o Tag Manager es un patrón común que vemos con Magecart, ya que los revisores tienden a omitir lo que parece una etiqueta de seguimiento familiar», dijo Sansec.
Esta divulgación se produce semanas después de que Sucuri detallara una campaña en la que los sitios web Joomla tenían una puerta trasera con código PHP altamente ofuscado que contactaba a servidores C2 controlados por atacantes, recibía y procesaba instrucciones enviadas por operadores y entregaba contenido spam a visitantes y motores de búsqueda sin el conocimiento de los propietarios del sitio. El objetivo final es sacar provecho de la reputación de los sitios de spam.
«El script actúa como un cargador remoto», dijo el investigador de seguridad Puja Srivastava. «Se conecta a un servidor externo, envía información sobre el sitio web infectado y espera instrucciones. La respuesta del servidor remoto determina qué contenido ofrece el sitio infectado».
«Este enfoque permite a un atacante cambiar el comportamiento de un sitio web comprometido en cualquier momento sin tener que modificar los archivos locales nuevamente. El atacante puede insertar enlaces de productos spam, redirigir a los visitantes o mostrar dinámicamente páginas maliciosas».
Source link
