Καταστήματα Adobe Commerce και Magento στοχεύονται από επιθέσεις CosmicSting

Τα ηλεκτρονικά καταστήματα Adobe Commerce και Magento στοχοποιούνται σε επιθέσεις “CosmicSting” με ανησυχητικό ρυθμό, με τους παράγοντες απειλών να χακάρουν περίπου το 5% όλων των καταστημάτων.

Η ευπάθεια CosmicSting (CVE-2024-32102) είναι ένα ελάττωμα αποκάλυψης πληροφοριών κρίσιμης σοβαρότητας. Όταν συνδέεται με το CVE-2024-2961, ένα ζήτημα ασφαλείας στη λειτουργία iconv του glibc, ένας εισβολέας μπορεί να επιτύχει απομακρυσμένη εκτέλεση κώδικα στον διακομιστή προορισμού.

Το κρίσιμο ελάττωμα επηρεάζει τα ακόλουθα προϊόντα:

• Adobe Commerce 2.4.7 και παλαιότερες εκδόσεις, συμπεριλαμβανομένων των 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
• Adobe Commerce Extended Support 2.4.3-ext-7 και παλαιότερη, 2.4.2-ext-7 και παλαιότερη, 2.4.1-ext-7 και παλαιότερη, 2.4.0-ext-7 και παλαιότερη έκδοση, 2.3.7-p4- ext-7 και νωρίτερα.
• Magento Open Source 2.4.7 και παλαιότερες εκδόσεις, συμπεριλαμβανομένων 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
• Adobe Commerce Webhooks Plugin εκδόσεις 1.2.0 έως 1.4.0

Η εταιρεία ασφαλείας ιστοτόπων Sansec παρακολουθεί τις επιθέσεις από τον Ιούνιο του 2024 και παρατήρησε 4.275 παραβιάσεις καταστημάτων σε επιθέσεις CosmicSting, θύματα υψηλού προφίλ συμπεριλαμβανομένων των Whirlpool, Ray-Ban, National Geographic, Segway και Cisco, όπως ανέφερε η BleepingComputer τον περασμένο μήνα.

Η Sansec λέει ότι πολλοί παράγοντες απειλών πραγματοποιούν τώρα επιθέσεις καθώς η ταχύτητα επιδιόρθωσης δεν ταιριάζει με την κρίσιμη φύση της κατάστασης.

προειδοποιεί ο Sansec.

Το χειρότερο κύμα επίθεσης εδώ και χρόνια

Όπως είχε προβλέψει η Sansec, όταν το CosmicSting αποκαλύφθηκε με λίγες τεχνικές λεπτομέρειες και μια επείγουσα ειδοποίηση για την εφαρμογή των ενημερώσεων ασφαλείας, ανακοίνωσε μια από τις χειρότερες απειλές για το οικοσύστημα ηλεκτρονικού εμπορίου.

Οι ερευνητές παρακολουθούν τώρα επτά διαφορετικές ομάδες απειλών που χρησιμοποιούν το CosmicSting για να παραβιάσουν μη επιδιορθωμένους ιστότοπους, που ονομάζονται “Bobry”, “Polyovki”, “Surki”, “Burunduki”, “Ondatry”, “Khomyaki” και “Belki”. Αυτές οι ομάδες θεωρούνται οπορτουνιστές με οικονομικά κίνητρα, που παραβιάζουν τους ιστότοπους για να κλέψουν πληροφορίες πιστωτικών καρτών και πελατών.

Η Ondatry χρησιμοποιούσε το ελάττωμα “TrojanOrder” το 2022, αλλά τώρα μετακόμισε στο CosmicSting, το οποίο δείχνει πώς ορισμένοι παράγοντες απειλών ειδικεύονται στο χώρο και αναζητούν συνεχώς ευκαιρίες σε εύκολα εκμεταλλεύσιμα κρίσιμα τρωτά σημεία.

Οι παράγοντες της απειλής αξιοποιούν το CosmicSting για να κλέψουν κρυπτογραφικά κλειδιά Magento, να εισαγάγουν skimmers πληρωμών για να κλέψουν κάρτες από ιστοσελίδες αγοράς παραγγελιών και ακόμη και να πολεμήσουν μεταξύ τους για τον έλεγχο των ευάλωτων καταστημάτων.

Τα κακόβουλα σενάρια εγχέονται σε παραβιασμένους ιστότοπους από τομείς που ονομάζονται ότι εμφανίζονται ως γνωστές βιβλιοθήκες JavaScript ή πακέτα αναλυτικών στοιχείων. Για παράδειγμα, οι χάκερ του Μπουρουντούκι χρησιμοποιούν τον τομέα ‘jgueurystatic[.]xyz’ να φαίνεται ότι είναι jQuery.

Οι ηθοποιοί απειλών Polyovki χρησιμοποιούν «cdnstatics[.]net’ για να εμφανίζεται σαν τα σενάρια να προορίζονται για αναλυτικά στοιχεία ιστότοπου, όπως φαίνεται στον συμβιβασμό του ηλεκτρονικού καταστήματος της Ray-Ban.
,

Το BleepingComputer απέκοψε το σενάριο lib.js και μπορείτε να δείτε παρακάτω ότι το σενάριο επιχειρεί να κλέψει αριθμούς πιστωτικών καρτών πελατών, ονόματα, ημερομηνίες λήξης, κωδικούς ασφαλείας και πληροφορίες πελατών.

Η Sansec είπε στο BleepingComputer ότι έχει προειδοποιήσει πολλές από τις τοποθεσίες, συμπεριλαμβανομένων των Ray-Ban, Whirlpool, National Geographic και Segway, για αυτές τις επιθέσεις πολλές φορές, αλλά δεν έχει λάβει απάντηση για καμία από αυτές. Η BleepingComputer έστειλε επίσης email στις επωνυμίες που επηρεάστηκαν χθες, αλλά δεν έχουμε λάβει ακόμη απάντηση.

Ο ιδρυτής της Sansec, Willem de Groot, λέει ότι οι Segway και Whirlpool φαίνεται να έχουν επιδιορθωθεί και η BleepingComputer δεν μπόρεσε να βρει τον κακόβουλο κώδικα στον ιστότοπο του Ray-Ban, υποδεικνύοντας ότι μπορεί επίσης να διορθωθεί.

Συνιστάται στους διαχειριστές του ιστότοπου να μετακινηθούν στις ακόλουθες εκδόσεις (ή νεότερες) το συντομότερο δυνατό:

• Adobe Commerce 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
• Adobe Commerce Extended Support 2.4.3-ext-8, 2.4.2-ext-8, 2.4.1-ext-8, 2.4.0-ext-8, 2.3.7-p4-ext-8
• Magento Open Source 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
• Έκδοση 1.5.0 του Adobe Commerce Webhooks Plugin

Η Sansec έχει παράσχει ένα εργαλείο για να ελέγχει εάν ο ιστότοπός της είναι ευάλωτος και έχει κυκλοφορήσει μια “επείγουσα επιδιόρθωση” για τον αποκλεισμό των περισσότερων επιθέσεων CosmicSting, και οι δύο είναι διαθέσιμες εδώ.