สรุปสั้น

ช่องโหว่ร้ายแรงในปลั๊กอิน Funnel Builder สำหรับ WordPress ถูกโจมตีจริงแล้วในธรรมชาติ ผู้โจมตีใช้ช่องโหว่นี้ฝังสคริปต์ JavaScript อันตรายเข้าไปในหน้า checkout ของร้านค้า WooCommerce เพื่อขโมยข้อมูลบัตรเครดิต ปลั๊กอิน Funnel Builder ถูกใช้งานในร้านค้าออนไลน์กว่า 40,000 แห่งทั่วโลก ช่องโหว่ไม่ต้องยืนยันตัวตน (unauthenticated) ทำให้ผู้โจมตีสามารถเขียนข้อมูลลงในการตั้งค่าของปลั๊กอินได้โดยตรง สคริปต์อันตรายปลอมตัวเป็น Google Tag Manager (GTM) loader และใช้ WebSocket ในการส่งข้อมูลบัตรเครดิตที่ขโมยมา FunnelKit ได้ออกแพตช์แก้ไขแล้วในเวอร์ชัน 3.15.0.3

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 16 พฤษภาคม พ.ศ. 2569 ว่าช่องโหว่ด้านความปลอดภัยร้ายแรงในปลั๊กอิน Funnel Builder สำหรับ WordPress ถูกใช้โจมตีจริงแล้วในธรรมชาติ โดยผู้โจมตีฝังสคริปต์ JavaScript อันตรายเข้าไปในหน้า checkout ของร้านค้า WooCommerce เพื่อขโมยข้อมูลการชำระเงินของลูกค้า

รายละเอียดกิจกรรมการโจมตีถูกเผยแพร่โดย Sansec ซึ่งเป็นบริษัทรักษาความปลอดภัยด้านอีคอมเมิร์ซจากเนเธอร์แลนด์ ช่องโหว่ส่งผลกระทบต่อปลั๊กอิน Funnel Builder ทุกเวอร์ชันก่อน 3.15.0.3 และถูกใช้งานในร้านค้า WooCommerce มากกว่า 40,000 แห่ง

ช่องโหว่ดังกล่าวทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถเข้าถึง internal method ที่เขียนข้อมูลที่ผู้โจมตีควบคุมลงในการตั้งค่าส่วนกลาง (global settings) ของปลั๊กอินได้โดยตรง ทำให้สามารถฝังสคริปต์อันตรายเข้าไปในทุกหน้า checkout ของร้านค้า

FunnelKit ซึ่งเป็นผู้พัฒนาปลั๊กอิน Funnel Builder ได้ออกแพตช์แก้ไขช่องโหว่แล้วในเวอร์ชัน 3.15.0.3

วิธีการโจมตี

ผู้โจมตีใช้เทคนิคที่ซับซ้อนในการซ่อนสคริปต์ขโมยข้อมูลบัตรเครดิต (credit card skimmer) ดังนี้:

การฝังสคริปต์ปลอม: ผู้โจมตีแทรกสคริปต์ปลอมที่เลียนแบบ Google Tag Manager (GTM) เข้าไปในการตั้งค่า “External Scripts” ของปลั๊กอิน ทำให้สคริปต์อันตรายดูเหมือนเป็นเครื่องมือวิเคราะห์ข้อมูลปกติที่อยู่ข้างแท็กจริงของร้านค้า

การโหลด Skimmer: สคริปต์ GTM ปลอมจะโหลด JavaScript จากโดเมนระยะไกลที่ผู้โจมตีควบคุม

WebSocket C2: สคริปต์ที่โหลดมาจะเปิดการเชื่อมต่อ WebSocket ไปยังเซิร์ฟเวอร์สั่งการ (C2) ที่ “wss://protect-wss[.]com/ws” เพื่อรับ skimmer ที่ถูกปรับแต่งให้เข้ากับหน้าตาของร้านค้าเหยื่อโดยเฉพาะ

การขโมยข้อมูล: Skimmer จะดักจับข้อมูลบัตรเครดิต CVV และที่อยู่สำหรับเรียกเก็บเงินจากหน้า checkout แล้วส่งกลับไปยังผู้โจมตีผ่าน WebSocket

ผลกระทบต่อไทย

ประเทศไทยมีร้านค้าออนไลน์ที่ใช้ WordPress กับ WooCommerce จำนวนมาก เนื่องจากเป็นแพลตฟอร์มอีคอมเมิร์ซแบบโอเพนซอร์สที่ได้รับความนิยมสูงสุด ร้านค้าออนไลน์ไทยที่ใช้ปลั๊กอิน Funnel Builder มีความเสี่ยงที่จะถูกฝัง skimmer เพื่อขโมยข้อมูลบัตรเครดิตของลูกค้า

เหตุการณ์นี้อาจส่งผลกระทบต่อความเชื่อมั่นของผู้บริโภคไทยในการซื้อสินค้าออนไลน์ โดยเฉพาะร้านค้าขนาดเล็กถึงกลางที่อาจไม่มีทีมดูแลความปลอดภัยโดยเฉพาะ

นอกจากนี้ การที่สคริปต์อันตรายปลอมตัวเป็น Google Tag Manager ทำให้ตรวจจับได้ยากมาก แม้แต่เจ้าของร้านค้าที่ตรวจสอบซอร์สโค้ดก็อาจมองข้ามสคริปต์ที่ดูเหมือนเป็นเครื่องมือวิเคราะห์ปกติ

คำแนะนำ

  • อัปเดตปลั๊กอิน Funnel Builder เป็นเวอร์ชัน 3.15.0.3 หรือใหม่กว่าทันที
  • ตรวจสอบการตั้งค่า Settings > Checkout > External Scripts ว่ามีสคริปต์ที่ไม่คุ้นเคยอยู่หรือไม่ หากพบให้ลบออกทันที
  • สแกนเว็บไซต์ด้วยเครื่องมือตรวจจับมัลแวร์ เช่น Sansec eComscan หรือ Sucuri SiteCheck
  • ตรวจสอบธุรกรรมย้อนหลังว่ามีกิจกรรมที่ผิดปกติหรือลูกค้าร้องเรียนเรื่องบัตรเครดิตถูกใช้โดยไม่ได้รับอนุญาตหรือไม่
  • พิจารณาใช้ Content Security Policy (CSP) headers เพื่อจำกัดโดเมนที่สามารถโหลดสคริปต์ได้

แหล่งอ้างอิง