พบช่องโหว่ร้ายแรงในปลั๊กอิน Funnel Builder บน WordPress ถูกใช้ฝังโค้ดขโมยข้อมูลบัตรเครดิตร้านค้าออนไลน์

บริษัทความปลอดภัยด้านอีคอมเมิร์ซ Sansec ได้ตรวจพบการโจมตีทางไซเบอร์ที่มุ่งเป้าไปยังเว็บไซต์ร้านค้าออนไลน์ที่ใช้งานระบบ WooCommerce โดยผู้ไม่หวังดีได้ใช้ประโยชน์จากช่องโหว่ระดับความรุนแรงสูงในปลั๊กอิน Funnel Builder ของ WordPress เพื่อฝังโค้ด JavaScript ที่เป็นอันตรายลงในหน้าชำระเงิน ช่องโหว่ดังกล่าวส่งผลกระทบต่อปลั๊กอินในทุกเวอร์ชันที่ต่ำกว่า 3.15.0.3 ซึ่งในปัจจุบันมีเว็บไซต์เปิดใช้งานปลั๊กอินนี้อยู่มากกว่า 40,000 แห่งทั่วโลก เหตุการณ์นี้มีความสำคัญเป็นอย่างยิ่งเนื่องจากทำให้ข้อมูลทางการเงินและข้อมูลส่วนบุคคลของลูกค้าที่เข้ามาซื้อสินค้าออนไลน์ตกอยู่ในความเสี่ยงที่จะถูกเข้าถึงโดยไม่ได้รับอนุญาต 

สำหรับรูปแบบการโจมตีนั้น เกิดจากการที่ช่องโหว่ดังกล่าวเปิดโอกาสให้ผู้โจมตีจากภายนอก สามารถสั่งการแก้ไขโครงสร้างการตั้งค่าส่วนกลางของปลั๊กอินได้ ผ่านช่องทางเชื่อมต่อของหน้าชำระเงินสาธารณะที่ขาดการป้องกันการเข้าถึง โดยไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ใด ๆ จากนั้นผู้โจมตีจะทำการฝังโค้ดอันตรายลงในเมนูสคริปต์ภายนอก (External Scripts) ของปลั๊กอิน ซึ่งโค้ดดังกล่าวได้รับการพรางตาให้ดูคล้ายกับสคริปต์นับสถิติทั่วไปของ Google Tag Manager หรือ Google Analytics เพื่อหลีกเลี่ยงการตรวจจับของผู้ดูแลระบบ เมื่อผู้ใช้งานเข้าสู่หน้าชำระเงิน สคริปต์นี้จะเปิดการเชื่อมต่อผ่านโปรโตคอล WebSocket ไปยังเซิร์ฟเวอร์ควบคุมเพื่อดึงเครื่องมือดักจับข้อมูลบัตรชำระเงิน (Payment Card Skimmer) มาทำงาน ส่งผลให้ข้อมูลสำคัญ เช่น เลขหน้าบัตรเครดิต รหัสหลังบัตร (CVV) ที่อยู่สำหรับส่งใบเสร็จ และข้อมูลอื่น ๆ ของผู้ซื้อ ถูกลักลอบส่งออกไปยังเครือข่ายของผู้โจมตีเพื่อนำไปใช้ในการฉ้อโกงหรือขายต่อในตลาดมืดต่อไป     

ในส่วนของแนวทางการป้องกันและการลดความเสี่ยง ปัจจุบันทาง FunnelKit ซึ่งเป็นผู้พัฒนาได้ดำเนินการออกแพตช์แก้ไขช่องโหว่นี้แล้วในปลั๊กอินเวอร์ชัน 3.15.0.3 เจ้าของเว็บไซต์และผู้ดูแลระบบจึงควรดำเนินการอัปเดตปลั๊กอินให้เป็นเวอร์ชันล่าสุดผ่านหน้าต่างจัดการของ WordPress โดยทันที นอกเหนือจากการอัปเดตระบบแล้ว สิ่งที่ควรดำเนินการควบคู่กันคือการตรวจสอบความปลอดภัยเบื้องต้น โดยเข้าไปที่เมนูการตั้งค่า เลือกส่วนการชำระเงิน และตรวจสอบในหัวข้อสคริปต์ภายนอกอย่างละเอียดเพื่อค้นหาและลบสคริปต์แปลกปลอมที่อาจถูกแอบแฝงไว้ รวมถึงควรตรวจสอบบันทึกเหตุการณ์ของระบบ (Server Access Logs) เพื่อสืบค้นคำร้องขอที่ผิดปกติบริเวณจุดชำระเงิน ทั้งนี้ การดำเนินการอัปเดตและเฝ้าระวังอย่างต่อเนื่องถือเป็นมาตรการสำคัญที่จะช่วยตัดวงจรการโจมตีและปกป้องข้อมูลธุรกรรมของลูกค้าได้อย่างมีประสิทธิภาพ

แหล่งข่าว https://www.bleepingcomputer.com/news/security/funnel-builder-wordpress-plugin-bug-exploited-to-steal-credit-cards/