Funnel Builder 워드프레스 플러그인 버그, 신용카드 탈취에 악용.
워드프레스용 Funnel Builder 플러그인에 존재하는 심각한 취약점이 악성 JavaScript 조각을 WooCommerce 결제 페이지에 삽입하도록 적극적으로 악용되고 있습니다.
이 결함은 아직 공식 식별자를 부여받지 않았으며 인증 없이도 이용할 수 있습니다. 플러그인 3.15.0.3 이전 모든 버전에 영향을 미칩니다.
Funnel Builder는 FunnelKit이 개발한 워드프레스용 WooCommerce 결제 플러그인으로, 결제 페이지를 맞춤화하고 원클릭 업셀, 랜딩 페이지, 전환율 최적화와 같은 기능을 제공합니다.
WordPress.org 통계에 따르면 Funnel Builder 플러그인은 40,000개 이상의 웹사이트에서 활성화되어 있습니다(플러그인 페이지).
보안 기업 Sansec이 악성 활동을 탐지했으며(연구 보고서), 페이로드(analytics-reports[.]com/wss/jquery-lib.js)가 가짜 Google Tag Manager/Google Analytics 스크립트로 위장되어 외부 위치(wss://protect-wss[.]com/ws)에 WebSocket 연결을 연다고 밝혔습니다.
공개된 결제 엔드포인트를 통해 플러그인의 전역 설정을 보호되지 않은 상태로 수정함으로써, 공격자는 플러그인의 “External Scripts”(외부 스크립트) 설정에 임의의 JavaScript를 삽입할 수 있습니다. 이로 인해 모든 결제 페이지에서 악성 코드가 실행됩니다.
Sansec에 따르면, 공격자가 제어하는 서버는 맞춤형 결제 카드 스키머를 제공하여 다음 정보를 탈취합니다:
- 신용카드 번호
- CVV
- 청구 주소
- 기타 고객 정보
결제 카드 스키머는 위협 행위자가 온라인에서 사기 구매를 수행하도록 하며, 탈취된 기록은 종종 다크웹의 카드 거래 시장에서 개별 혹은 대량으로 판매됩니다.
FunnelKit은 어제 발표된 Funnel Builder 3.15.0.3 버전에서 해당 취약점을 해결했습니다.
Sansec이 입수한 공급업체의 보안 권고문은 “악성 행위자를 통해 스크립트를 삽입할 수 있는 문제가 확인되었다”고 명시하며, 공급업체는 웹사이트 소유자와 관리자가 워드프레스 대시보드에서 최신 버전으로 업데이트하고 Settings > Checkout > External Scripts(설정 > 결제 > 외부 스크립트) 항목을 검토해 공격자가 추가했을 가능성이 있는 악성 스크립트를 확인할 것을 권고합니다.
검증 격차: 자동화된 펜테스팅이 답하는 질문은 하나뿐. 당신은 여섯 개가 필요합니다.
자동화된 펜테스팅 도구는 실제 가치를 제공하지만, “공격자가 네트워크를 통과할 수 있는가?”라는 한 가지 질문에만 답하도록 설계되었습니다. 이 도구들은 여러분의 방어가 위협을 차단하는지, 탐지 규칙이 작동하는지, 클라우드 설정이 올바른지 등을 테스트하도록 만들어지지 않았습니다.
이 가이드는 실제로 검증해야 할 6가지 영역을 다룹니다.