آنتی ویروس پادویش خرید طلا از میلادزر

خطر جدی برای افزونه ووکامرس ؛ هکرها با سواستفاده از افزونه فانل بیلدر اطلاعات بانکی کاربران را سرقت می کنند

خطر جدی برای فروشگاه های ووکامرس؛ هکرها با سواستفاده از افزونه فانل بیلدر اطلاعات بانکی کاربران را سرقت می کنند

به گزارش زوم تک از سانسک، یک آسیب پذیری امنیتی بسیار حیاتی و خطرناک در افزونه فانل بیلدر (Funnel Builder) وردپرس شناسایی شده است که در حال حاضر مورد سواستفاده فعال هکرها قرار دارد.

کانال بله زوم تکگیفت کارت

آغاز حملات گسترده به افزونه ووکامرس برای دزدی اطلاعات

مهاجمان سایبری با بهره برداری از این حفره امنیتی، کدهای مخرب جاوا اسکریپت را به صفحات پرداخت فروشگاه های ووکامرس تزریق می کنند. هدف اصلی این حملات، اسکیمینگ یا همان سرقت پنهانی اطلاعات کارت های بانکی و پرداخت مشتریان در هنگام خرید آنلاین است.

جزییات آسیب پذیری افزونه فانل بیلدر و میزان ابعاد این تهدید سایبری

جزییات این فعالیت های مخرب به تازگی توسط شرکت امنیت تجارت الکترونیک سانسک منتشر شده است. این آسیب پذیری در حال حاضر هیچ شناسه رسمی CVE ندارد اما بررسی ها نشان می دهد که تمام نسخه های قبل از ورژن 3.15.0.3 این افزونه را تحت تاثیر قرار داده است. اهمیت این موضوع زمانی مشخص می شود که بدانیم افزونه فانل بیلدر در حال حاضر در بیش از 40 هزار فروشگاه اینترنتی مبتنی بر ووکامرس در سراسر جهان استفاده می شود و این به معنای در خطر بودن هزاران کسب و کار آنلاین است.

چگونه هکرها بدون نیاز به احراز هویت کدهای مخرب خود را تزریق می کنند؟

شرکت امنیتی سانسک اعلام کرده است که این نقص امنیتی به مهاجمان بدون نیاز به احراز هویت اجازه می دهد تا کدهای جاوا اسکریپت دلخواه خود را در تک تک صفحات پرداخت فروشگاه تزریق کنند. تیم توسعه دهنده فانل کیت (FunnelKit) که پشتیبانی و توسعه افزونه فانل بیلدر را بر عهده دارد، به سرعت واکنش نشان داده و یک وصله امنیتی برای رفع این مشکل در نسخه 3.15.0.3 منتشر کرده است. مهاجمان اسکریپت های جعلی گوگل تگ منیجر را در بخش تنظیمات اسکریپت های خارجی این افزونه قرار می دهند که تشخیص آن برای مدیران سایت بسیار دشوار است.

مخفی شدن اسکریپت های دزدی در پوشش ابزارهای آمارگیر گوگل

کدهای تزریق شده توسط هکرها کاملا شبیه به کدهای معمولی ابزارهای تحلیلی و آمارگیر سایت به نظر می رسند و در کنار تگ های واقعی فروشگاه قرار می گیرند. اما این کدهای به ظاهر بی خطر، در واقع یک اسکیمر پرداخت را بارگذاری می کنند که کار آن سرقت شماره کارت های اعتباری، رمزهای دوم، کدهای CVV2 و حتی آدرس های صورت حساب کاربران از بخش صفحه پرداخت ووکامرس است.

تحلیل فنی نحوه عملکرد و سواستفاده از نقطه پایانی افزونه

بر اساس گزارش فنی سانسک، افزونه فانل بیلدر شامل یک نقطه پایانی یا همان اندپوینت پرداخت است که به صورت عمومی در دسترس قرار دارد. این نقطه پایانی به درخواست های ورودی اجازه می دهد تا نوع متد داخلی را برای اجرا انتخاب کنند. با این حال، در نسخه های قدیمی تر این افزونه، ساختار به گونه ای طراحی شده بود که هرگز مجوزهای دسترسی فرستنده درخواست را بررسی نمی کرد و هیچ محدودیتی برای متدهایی که مجاز به فراخوانی بودند، وجود نداشت.

تزریق مستقیم اطلاعات هکرها به تنظیمات سراسری افزونه ووکامرس

یک بازیگر مخرب می تواند با ارسال یک درخواست بدون نیاز به احراز هویت، به یک متد داخلی نامشخص دسترسی پیدا کند که داده های تحت کنترل هکر را به طور مستقیم در تنظیمات سراسری افزونه ذخیره می کند. پس از این کار، قطعه کد اضافه شده به صورت خودکار در هر صفحه پرداختی که توسط افزونه فانل بیلدر مدیریت می شود، تزریق و برای مشتریان اجرا می شود.

استفاده از وب سوکت برای برقراری ارتباط با سرور فرماندهی هکرها

در نتیجه این نقص، مهاجم می تواند یک تگ اسکریپت مخرب ایجاد کند که با هر تراکنش خرید در یک سایت وردپرسی آسیب پذیر، فعال می شود. شرکت سانسک اعلام کرد که در حداقل یک مورد گزارش شده، مشاهده کرده است که محتوای مخرب خود را به عنوان یک بارگذار گوگل تگ منیجر جا زده است تا جاوا اسکریپت میزبانی شده در یک دامنه راه دور را اجرا کند. این کد سپس یک اتصال وب سوکت به سرور فرماندهی و کنترل هکر برقرار می کند تا اسکیمر مخصوص آن فروشگاه را دریافت کند.

هدف نهایی مهاجمان چیست و مدیران سایت ها چه کاری باید انجام دهند؟

هدف نهایی این حمله، بیرون کشیدن اطلاعات حساس کارت های بانکی و اطلاعات شخصی است که بازدیدکنندگان سایت در فرم های صفحه پرداخت وارد می کنند. به صاحبان وب سایت ها به شدت توصیه می شود که افزونه فانل بیلدر خود را در سریع ترین زمان ممکن به آخرین نسخه به روزرسانی کنند. همچنین آن ها باید بخش تنظیمات، سپس پرداخت و اسکریپت های خارجی را به دقت بررسی کرده و هرگونه کد ناشناس و مشکوک را سریعا پاکسازی کنند.

تکنیک های پیچیده تر و حملات مشابه در سیستم های مدیریت محتوا

شرکت سانسک اشاره می کند که پنهان کردن کدهای مخرب در قالب کدهای گوگل آنالیتیکس یا تگ منیجر، یک الگوی تکراری و شناخته شده در حملات سایبری موسوم به مگ کارت (Magecart) است. زیرا بازرسان و مدیران سایت ها در هنگام بررسی کدهای منبع، معمولا از روی هر چیزی که شبیه به یک تگ ردیابی آشنا باشد، به سرعت و بدون دقت عبور می کنند و متوجه خطر نمی شوند.

شناسایی کمپین های مخرب دیگر بر روی سیستم های جوملا

این افشاگری تنها چند هفته پس از آن صورت می گیرد که شرکت امنیتی سوکوری (Sucuri) جزییات یک کمپین دیگر را منتشر کرد. در آن کمپین، وب سایت های جوملا با کدهای پی اچ پی بسیار مبهم و پیچیده به بک دور مجهز می شدند تا با سرورهای فرماندهی تحت کنترل مهاجمان ارتباط برقرار کنند. هدف آن حملات، ارسال محتوای اسپم به بازدیدکنندگان و موتورهای جستجو بدون اطلاع مالک سایت و سواستفاده از اعتبار و سئوی آن سایت ها بوده است.

به این پست امتیاز بدید

نظرات در مورد : خطر جدی برای افزونه ووکامرس ؛ هکرها با سواستفاده از افزونه فانل بیلدر اطلاعات بانکی کاربران را سرقت می کنند

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *