Kerentanan Funnel Builder Aktif Dieksploitasi, Skimming Checkout WooCommerce Meluas

Kerentanan kritis pada plugin Funnel Builder untuk WordPress kini sedang dieksploitasi secara aktif di alam liar untuk menyisipkan kode JavaScript berbahaya ke halaman checkout WooCommerce dengan tujuan mencuri data pembayaran pelanggan.

Informasi mengenai aktivitas tersebut dipublikasikan oleh Sansec minggu ini. Kerentanan ini belum memiliki identifier CVE resmi dan mempengaruhi seluruh versi plugin sebelum versi 3.15.0.3. Funnel Builder digunakan oleh lebih dari 40.000 toko WooCommerce, sehingga potensi risikonya sangat besar.

Bagaimana Kerentanan Ini Bekerja?

Menurut Sansec, kerentanan ini memungkinkan penyerang yang tidak terautentikasi untuk menyisipkan JavaScript sembarangan ke setiap halaman checkout toko menggunakan plugin tersebut.

"Para penyerang memasang skrip Google Tag Manager palsu di pengaturan 'External Scripts' plugin," jelas Sansec. "Kode yang disuntikkan terlihat seperti analytics biasa di samping tag asli toko, namun memuat skimmer pembayaran yang mencuri nomor kartu kredit, CVV, dan alamat penagihan dari proses checkout."

Funnel Builder memiliki sebuah endpoint checkout yang dapat diakses publik, yang memungkinkan permintaan masuk memilih jenis metode internal yang dijalankan. Namun versi lama plugin ini tidak memeriksa izin pemanggil ataupun membatasi metode mana yang boleh dijalankan.

Seorang penyerang dapat memanfaatkan celah ini dengan mengirimkan permintaan tanpa autentikasi yang memanggil metode internal tertentu untuk menulis data kendali penyerang langsung ke pengaturan global plugin. Kode berbahaya ini kemudian disuntikkan ke setiap halaman checkout yang menggunakan Funnel Builder.

Modus Serangan dan Dampaknya

Dalam satu kasus yang diamati Sansec, payload berkamuflase sebagai pemuat Google Tag Manager (GTM) yang memuat JavaScript dari domain jarak jauh. Skrip ini membuka koneksi WebSocket ke server komando dan kendali (C2) penyerang di "wss://protect-wss[.]com/ws" untuk mengambil skimmer yang disesuaikan dengan toko target.

Tujuan akhir serangan ini adalah untuk mencuri nomor kartu kredit, CVV, alamat penagihan, dan informasi pribadi lain yang dimasukkan pengunjung saat checkout. Pemilik situs disarankan untuk segera memperbarui plugin Funnel Builder ke versi terbaru dan memeriksa pengaturan Settings > Checkout > External Scripts untuk menghapus skrip yang mencurigakan.

"Menyamarkan skimmer sebagai kode Google Analytics atau Tag Manager adalah pola Magecart yang sering terjadi, karena peninjau cenderung melewati kode yang terlihat seperti tag pelacakan yang familiar," tambah Sansec.

Konteks Lebih Luas: Tren Serangan E-Commerce

Pengungkapan ini muncul beberapa minggu setelah Sucuri melaporkan kampanye yang menargetkan situs Joomla dengan kode PHP yang sangat tersamarkan. Kode ini menghubungi server C2, menerima instruksi, dan menyajikan konten spam tanpa sepengetahuan pemilik situs, bertujuan memanfaatkan reputasi situs untuk menyuntikkan spam.

"Skrip ini bertindak sebagai pemuat jarak jauh," kata peneliti keamanan Puja Srivastava. "Ia menghubungi server eksternal, mengirim informasi tentang situs yang terinfeksi, dan menunggu instruksi. Respon dari server menentukan konten apa yang harus disajikan situs yang terinfeksi."

"Pendekatan ini memungkinkan penyerang mengubah perilaku situs yang dikompromikan kapan saja tanpa perlu memodifikasi file lokal lagi. Penyerang bisa menyuntikkan tautan produk spam, mengalihkan pengunjung, atau menampilkan halaman berbahaya secara dinamis."

Langkah Pencegahan dan Tindakan Pemilik Toko

1. Segera perbarui plugin Funnel Builder ke versi 3.15.0.3 atau yang lebih baru untuk menutup celah keamanan ini.
2. Periksa secara rutin pengaturan External Scripts pada plugin untuk menghapus skrip asing atau mencurigakan.
3. Gunakan solusi keamanan website yang dapat mendeteksi dan memblokir injeksi kode berbahaya.
4. Edukasikan tim pengelola toko online untuk mewaspadai perubahan yang tidak disengaja dan memeriksa aktivitas plugin secara berkala.

Analisis Redaksi

Menurut pandangan redaksi, eksploitasi kerentanan pada plugin yang banyak dipakai seperti Funnel Builder menandakan betapa rentannya ekosistem WordPress dan WooCommerce terhadap serangan skimming yang semakin canggih. Modus menyamarkan kode jahat sebagai Google Tag Manager atau Google Analytics bukan hanya memanfaatkan kelalaian pengawasan, tetapi juga kepercayaan yang tinggi terhadap tag pelacakan populer.

Hal ini menunjukkan bahwa pemilik toko online harus lebih proaktif dalam melakukan audit keamanan, bukan sekadar mengandalkan pembaruan rutin plugin. Kejadian ini juga menggarisbawahi pentingnya pemantauan aktivitas plugin dan skrip pihak ketiga yang digunakan.

Kedepannya, diharapkan pengembang plugin lebih memperketat kontrol akses dan validasi pemanggilan metode internal, serta menambah fitur keamanan seperti deteksi injeksi skrip berbahaya. Sementara itu, pengguna harus terus mengikuti berita keamanan dan segera melakukan pembaruan untuk meminimalisir risiko serangan skimming yang bisa membawa kerugian besar bagi bisnis dan konsumen.

Untuk informasi lebih rinci dan update terbaru, Anda bisa membaca laporan lengkapnya di The Hacker News serta mengikuti berita dari sumber terpercaya lainnya.