Pesquisadores de cibersegurança revelaram que 5% de todas as lojas Adobe Commerce e Magento foram hackeadas por atores maliciosos, explorando uma vulnerabilidade de segurança conhecida como CosmicSting.
Registrada como
CVE-2024-34102
(pontuação CVSS: 9,8), a falha crítica está relacionada a uma restrição imprópria de referência de entidade externa XML (XXE) que pode resultar na execução remota de código.
A deficiência, creditada a um pesquisador chamado "spacewasp", foi corrigida pela Adobe em junho de 2024.
A empresa de segurança holandesa Sansec, que descreveu o CosmicSting como o "pior erro a atingir as lojas Magento e Adobe Commerce em dois anos", disse que os sites de comércio eletrônico estão sendo comprometidos à taxa de três a cinco por hora.
Desde então, a falha passou por uma exploração generalizada, levando a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a adicionar ao catálogo Known Exploited Vulnerabilities (KEV) em meados de julho de 2024.
Alguns desses ataques envolvem a exploração da falha para roubar a chave de criptografia secreta do Magento, que é então usada para gerar JSON Web Tokens (JWTs) com acesso total à API administrativa.
Os atores de ameaças foram então observados aproveitando a API REST do Magento para injetar scripts maliciosos.
Isso também significa que aplicar apenas a correção mais recente é insuficiente para garantir proteção contra o ataque, exigindo que os proprietários dos sites tomem medidas para trocar as chaves de criptografia.
Ataques subsequentes observados em agosto de 2024 combinaram CosmicSting com CNEXT (
CVE-2024-2961
), uma vulnerabilidade na biblioteca iconv dentro da biblioteca GNU C (conhecida como glibc), para alcançar a execução de código remoto.
"CosmicSting (
CVE-2024-34102
) permite a leitura de arquivos arbitrários em sistemas não corrigidos.
Quando combinado com CNEXT (
CVE-2024-2961
), os atores de ameaças podem escalar para execução de código remoto, assumindo o controle total do sistema", observou a Sansec.
O objetivo final dos comprometimentos é estabelecer um acesso persistente e oculto no host via GSocket e inserir scripts maliciosos que permitem a execução de JavaScript arbitrário recebido do invasor para roubar dados de pagamento inseridos pelos usuários nos sites.
As descobertas mais recentes mostram que várias empresas, incluindo Ray Ban, National Geographic, Cisco, Whirlpool e Segway, foram vítimas de ataques CosmicSting, com pelo menos sete grupos distintos participando dos esforços de exploração:
- Grupo Bobry, que usa codificação por espaços em branco para esconder código que executa um skimmer de pagamento hospedado em um servidor remoto
- Grupo Polyovki, que usa uma injeção de cdnstatics.net/lib.js
- Grupo Surki, que usa codificação XOR para ocultar código JavaScript
- Grupo Burunduki, que acessa um código de skimmer dinâmico de um WebSocket em wss://jgueurystatic[.]xyz:8101
- Grupo Ondatry, que usa malware carregador de JavaScript personalizado para injetar formulários de pagamento falsificados que imitam os legítimos usados pelos sites comerciais
- Grupo Khomyaki, que exfiltra informações de pagamento para domínios que incluem um URI de 2 caracteres ("rextension[.]net/za/")
- Grupo Belki, que utiliza CosmicSting com CNEXT para plantar backdoors e malware skimmer
"É altamente recomendado que os comerciantes atualizem para a versão mais recente do Magento ou Adobe Commerce", disse a Sansec.
Eles também devem trocar as chaves de criptografia secretas e garantir que as chaves antigas sejam invalidadas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...