### Funnel Builderプラグインの活発な悪用 WordPress用プラグイン「Funnel Builder」に影響を与える重大なセキュリティ脆弱性が、決済データを窃取するために悪意のあるJavaScriptコードをWooCommerceのチェックアウトページに注入する目的で、現実に悪用されています。 この活動の詳細は、今週**Sansec**によって公開されました。この脆弱性には、現時点では公式の**CVE**識別子は存在しません。プラグインのバージョン3.15.0.3より前のすべてのバージョンに影響があり、40,000以上のWooCommerceストアに影響を与えています。 ### 非認証のJavaScriptインジェクション オランダのeコマースセキュリティ企業によると、この欠陥により、認証されていない攻撃者がストアのすべてのチェックアウトページに任意のJavaScriptを注入できます。Funnel Builderを管理する**FunnelKit**は、バージョン3.15.0.3でこの脆弱性に対するパッチをリリースしました。 「攻撃者は、プラグインの『外部スクリプト』設定に偽の**Google Tag Manager**スクリプトを仕込んでいます」と**Sansec**は述べています。「注入されたコードは、ストアの実際のタグの隣にある通常の分析のように見えますが、チェックアウトからクレジットカード番号、CVV、請求先住所を窃取する決済スキマーをロードします。」 ### 脆弱性の技術的詳細 **Sansec**によると、Funnel Builderには公開されているチェックアウトエンドポイントが含まれており、これにより受信リクエストが内部メソッドの実行タイプを選択できます。しかし、古いバージョンでは、呼び出し元の権限を確認したり、許可されるメソッドを制限したりしないように設計されていました。 攻撃者はこの抜け穴を悪用し、未認証のリクエストを発行して、指定されていない内部メソッドに到達させます。このメソッドは、攻撃者が制御するデータをプラグインのグローバル設定に直接書き込みます。追加されたコードスニペットは、その後、すべてのFunnel Builderチェックアウトページに注入されます。 その結果、攻撃者は、影響を受けるWordPressサイトのすべてのチェックアウトトランザクションでトリガーされる悪意のある`<script>`タグを配置できます。 ### スキマーの実装 少なくとも1つのケースで、**Sansec**は、リモートドメインでホストされているJavaScriptを起動するために**Google Tag Manager** (GTM) ローダーを装ったペイロードを観測しました。その後、攻撃者のコマンド＆コントロール (C2) サーバー (`wss://protect-wss[.]com/ws`) へのWebSocket接続を開き、被害者のストアフロントに合わせて調整されたスキマーを取得します。 攻撃の最終的な目標は、サイト訪問者がチェックアウト時に入力したクレジットカード番号、CVV、請求先住所、その他の個人情報を吸い取ることです。サイト所有者は、Funnel Builderプラグインを最新バージョンに更新し、「設定 > チェックアウト > 外部スクリプト」で不審なものがないか確認し、疑わしいエントリを削除することが推奨されます。 「スキマーをGoogle AnalyticsやTag Managerコードとして偽装するのは、レビュー担当者は馴染みのあるトラッキングタグのように見えるものをすぐにスキップする傾向があるため、繰り返されるMagecartパターンです」と**Sansec**は述べています。 ### Joomlaバックドアキャンペーン この開示は、**Sucuri**がJoomlaウェブサイトが高度に難読化されたPHPコードでバックドア化されているキャンペーンを詳細に説明してから数週間後のことです。このコードは、攻撃者が制御するC2サーバーに連絡し、オペレーターから送信された指示を受信して処理し、サイト所有者の知らないうちに訪問者や検索エンジンにスパムコンテンツを提供します。最終的な目的は、サイトの評判を利用してスパムを注入することです。 「このスクリプトはリモートローダーとして機能します」とセキュリティ研究者のPuja Srivastava氏は述べています。「外部サーバーに連絡し、感染したウェブサイトに関する情報を送信し、指示を待ちます。リモートサーバーからの応答によって、感染したサイトがどのコンテンツを提供するかが決まります。」 「このアプローチにより、攻撃者はローカルファイルを再度変更することなく、いつでも侵害されたウェブサイトの動作を変更できます。攻撃者はスパム製品リンクを注入したり、訪問者をリダイレクトしたり、悪意のあるページを動的に表示したりできます。」