### Aktive Ausnutzung des Funnel Builder Plugins Eine kritische Sicherheitslücke, die das **Funnel Builder** Plugin für WordPress betrifft, wird derzeit in freier Wildbahn aktiv ausgenutzt, um bösartigen JavaScript-Code in WooCommerce-Checkout-Seiten einzuschleusen. Ziel ist der Diebstahl von Zahlungsdaten. Details zu dieser Aktivität wurden diese Woche von **Sansec** veröffentlicht. Die Schwachstelle hat derzeit keine offizielle **CVE**-Kennung. Sie betrifft alle Versionen des Plugins vor 3.15.0.3 und beeinträchtigt über 40.000 WooCommerce-Shops. ### Unauthentifizierte JavaScript-Injektion Die Schwachstelle ermöglicht es unauthentifizierten Angreifern laut dem niederländischen E-Commerce-Sicherheitsunternehmen, beliebige JavaScript-Codes in jede Checkout-Seite des Shops einzuschleusen. **FunnelKit**, der Betreiber von Funnel Builder, hat für die Schwachstelle in Version 3.15.0.3 einen Patch veröffentlicht. "Angreifer pflanzen gefälschte **Google Tag Manager**-Skripte in die Einstellung 'Externe Skripte' des Plugins", bemerkte **Sansec**. "Der eingeschleuste Code sieht neben den echten Tags des Shops wie eine gewöhnliche Analyse aus, lädt aber einen Zahlungs-Skimmer, der Kreditkartennummern, CVVs und Rechnungsadressen vom Checkout stiehlt." ### Technische Details der Schwachstelle Laut **Sansec** verfügt Funnel Builder über einen öffentlich zugänglichen Checkout-Endpunkt, der es einer eingehenden Anfrage ermöglicht, den Typ der auszuführenden internen Methode zu wählen. Ältere Versionen waren jedoch so konzipiert, dass sie niemals die Berechtigungen des Aufrufers prüften oder einschränkten, welche Methoden aufgerufen werden durften. Angreifer nutzen diese Lücke aus, indem sie eine unauthentifizierte Anfrage stellen, die eine nicht spezifizierte interne Methode erreichen kann. Diese Methode schreibt vom Angreifer kontrollierte Daten direkt in die globalen Einstellungen des Plugins. Der hinzugefügte Code-Schnipsel wird dann in jede Funnel Builder Checkout-Seite eingefügt. Infolgedessen kann ein Angreifer ein bösartiges `<script>`-Tag platzieren, das bei jeder Checkout-Transaktion auf einer anfälligen WordPress-Seite ausgelöst wird. ### Skimmer-Implementierung In mindestens einem Fall beobachtete **Sansec** eine **payload**, die sich als **Google Tag Manager** (GTM) Loader ausgab, um JavaScript von einer entfernten Domain zu laden. Anschließend wurde eine WebSocket-Verbindung zu einem Command-and-Control (C2)-Server des Angreifers (`wss://protect-wss[.]com/ws`) geöffnet, um einen Skimmer abzurufen, der auf den Shop des Opfers zugeschnitten war. Das ultimative Ziel des Angriffs ist es, Kreditkartennummern, CVVs, Rechnungsadressen und andere persönliche Informationen, die von Website-Besuchern beim Checkout eingegeben werden, abzuzweigen. Website-Betreibern wird geraten, das Funnel Builder Plugin auf die neueste Version zu aktualisieren und unter `Einstellungen > Checkout > Externe Skripte` nach Unbekanntem zu suchen und verdächtige Einträge zu entfernen. "Skimmer als Google Analytics- oder Tag Manager-Code zu tarnen, ist ein wiederkehrendes Magecart-Muster, da Prüfer dazu neigen, alles zu überfliegen, was wie ein bekannter Tracking-Tag aussieht", sagte **Sansec**. ### Joomla Backdoor-Kampagne Die Veröffentlichung erfolgt Wochen, nachdem **Sucuri** eine Kampagne detailliert beschrieb, bei der Joomla-Websites mit stark verschleiertem PHP-Code mit Backdoors versehen werden. Dieser Code kontaktiert vom Angreifer kontrollierte C2-Server, empfängt und verarbeitet Anweisungen von den Betreibern und liefert Spam-Inhalte an Besucher und Suchmaschinen, ohne dass der Website-Besitzer davon weiß. Das ultimative Ziel ist es, den Ruf der Websites für die Einspeisung von Spam zu nutzen. "Das Skript fungiert als Remote-Loader", sagte die Sicherheitsforscherin Puja Srivastava. "Es kontaktiert einen externen Server, sendet Informationen über die infizierte Website und wartet auf Anweisungen. Die Antwort vom Remote-Server bestimmt, welche Inhalte die infizierte Website ausliefern soll." "Dieser Ansatz ermöglicht es Angreifern, das Verhalten der kompromittierten Website jederzeit zu ändern, ohne die lokalen Dateien erneut zu modifizieren. Der Angreifer kann Spam-Produktlinks einfügen, Besucher umleiten oder bösartige Seiten dynamisch anzeigen."