كشفت شركة الأمن الهولندية Sansec عن ثغرة خطيرة في إضافة Funnel Builder الخاصة بـ WordPress، والتي تُستخدم في أكثر من 40 ألف متجر يعمل على WooCommerce. الثغرة، التي لا تحمل حتى الآن معرف CVE رسمي، تسمح للمهاجمين غير المصرح لهم بحقن شيفرات JavaScript خبيثة في صفحات الدفع بهدف سرقة بيانات بطاقات الائتمان والمعلومات الشخصية للعملاء.
تفاصيل الثغرة وآلية الاستغلال
الثغرة تؤثر على جميع إصدارات Funnel Builder قبل الإصدار 3.15.0.3. وفقًا لـ Sansec، فإن الإضافة تحتوي على نقطة نهاية عامة لصفحات الدفع تسمح للطلبات الواردة باختيار نوع الطريقة الداخلية التي سيتم تشغيلها، دون التحقق من صلاحيات المتصل أو تقييد الطرق المسموح بها.
هذا الخلل يمكّن المهاجم من إرسال طلب غير موثق يكتب بيانات يتحكم بها مباشرة في إعدادات الإضافة، مما يؤدي إلى حقن شيفرة خبيثة في جميع صفحات الدفع.
كيف يتم زرع الشيفرة الخبيثة؟
المهاجمون يستغلون إعداد “External Scripts” في الإضافة لزرع شيفرات تبدو وكأنها Google Tag Manager أو Google Analytics، لكنها في الواقع تحمل أدوات Skimmer لسرقة بيانات الدفع. هذه الشيفرات تعمل على كل عملية دفع، وتجمع أرقام البطاقات، رموز CVV، والعناوين الخاصة بالفوترة.
في إحدى الحالات، رُصدت حمولة تتصل بخادم تحكم وسيطرة عبر WebSocket (“wss://protect-wss[.]com/ws”) لتحميل سكريبت مخصص للمتجر المستهدف.
التداعيات الأمنية والنصائح للمستخدمين
الهدف النهائي للهجوم هو جمع بيانات حساسة من العملاء، مما يعرضهم لخطر الاحتيال المالي وسرقة الهوية. ينصح أصحاب المواقع بما يلي:
- تحديث الإضافة إلى الإصدار 3.15.0.3 أو أحدث.
- مراجعة إعدادات Checkout > External Scripts وحذف أي شيفرات غير مألوفة.
- مراقبة أي نشاط مشبوه في عمليات الدفع أو سجلات الخادم.
سياق أوسع: أنماط Magecart والهجمات على منصات إدارة المحتوى
تُعد هذه الهجمات جزءًا من نمط متكرر يُعرف باسم Magecart، حيث يتنكر المهاجمون في صورة أدوات تتبع مشهورة لتجاوز المراجعة السطحية من قبل مسؤولي المواقع.
ويأتي هذا الكشف بعد أسابيع من تقرير Sucuri حول حملة استهدفت مواقع Joomla بزرع شيفرات PHP مشفرة تتصل بخوادم المهاجمين لتلقي أوامر وتنفيذها، بما في ذلك حقن روابط منتجات مزيفة أو إعادة توجيه الزوار إلى صفحات خبيثة.
هذه التطورات تؤكد أن منصات التجارة الإلكترونية مثل WooCommerce وJoomla أصبحت أهدافًا رئيسية للهجمات التي تستغل ثغرات الإضافات، وأن المهاجمين يركزون على سرقة بيانات الدفع أو استغلال سمعة المواقع لنشر محتوى ضار.
