Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Allarme WooCommerce: 40.000 negozi a rischio skimmer nel checkout via Funnel Builder, finto Google Tag Manager
Una vulnerabilità critica nel plugin Funnel Builder per WordPress sta venendo sfruttata attivamente per compromettere i pagamenti su WooCommerce attraverso tecniche di checkout skimming. Il problema interessa tutte le versioni precedenti alla 3.15.0.3 e coinvolge un ecosistema molto ampio, con oltre 40.000 negozi WooCommerce che utilizzano questo componente per creare funnel e pagine di checkout personalizzate.
Il punto chiave dell’attacco è la possibilità per un aggressore non autenticato di iniettare codice JavaScript arbitrario nelle pagine di pagamento. In pratica il plugin espone un endpoint di checkout accessibile pubblicamente che consente a una richiesta in ingresso di selezionare quale metodo interno eseguire. Nelle versioni vulnerabili non venivano applicati controlli adeguati sui permessi del chiamante e non veniva limitato in modo rigoroso quali metodi potessero essere invocati. Questo apre la strada a richieste non autorizzate in grado di raggiungere un metodo interno che scrive dati controllati dall’attaccante nelle impostazioni globali del plugin.
Una volta inserito, lo snippet malevolo viene caricato su ogni pagina di checkout gestita da Funnel Builder. Il risultato è che ogni transazione diventa un punto di raccolta dati per i criminali informatici. In uno scenario osservato, il payload si maschera da codice legittimo di Google Tag Manager, apparendo come un normale tag di analytics accanto agli script reali del negozio. In realtà carica uno script remoto e avvia una connessione WebSocket verso un server di comando e controllo per scaricare uno skimmer personalizzato per lo specifico storefront. I dati sottratti includono numeri di carta, CVV, indirizzi di fatturazione e altre informazioni inserite durante il pagamento.
Per ridurre il rischio, i proprietari di siti WordPress con WooCommerce dovrebbero aggiornare immediatamente Funnel Builder alla versione 3.15.0.3 o successiva e controllare la sezione delle impostazioni del checkout relativa agli script esterni, rimuovendo qualsiasi voce sconosciuta. Il travestimento da Tag Manager o Analytics è una tattica ricorrente nelle campagne Magecart, perché molti controlli manuali tendono a ignorare script che sembrano strumenti di tracciamento comuni.