Lojas Adobe Commerce e Magento Sob Ataque da CosmicSting Exploit.

Os pesquisadores de segurança cibernética têm divulgado 5% de todas as lojas Adobe Commerce e Magento foram invadidas por agentes maliciosos, explorando uma vulnerabilidade de segurança chamada CosmicSting.

Rastreado como CVE-2024-34102 (CVSS pontuação: 9,8), o falha crítica refere-se a uma restrição imprópria da vulnerabilidade XML external entity reference (XXE) que pode resultar na execução remota de código. A falha, creditada a um pesquisador chamado “vespa,” foi corrigido pela Adobe em junho de 2024.

A empresa de segurança holandesa Sansec, que tem descrito CosmicSting como o “pior bug a atingir as lojas Magento e Adobe Commerce em dois anos”, disse que os sites de comércio eletrônico estão sendo comprometidos a uma taxa de três a cinco por hora.

A falha, desde então, veio abaixo exploração generalizada, solicitando os EUA. Agência de Segurança Cibernética e Infraestrutura (CISA) para adicioná-lo ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) em meados de julho de 2024.

Alguns desses ataques envolver armando a falha para roubar a chave de criptografia secreta do Magento, que é então usada para gerar JSON Web Tokens (JWTs) com acesso total à API administrativa. Os agentes de ameaças foram observados aproveitando a API REST do Magento para injetar scripts maliciosos.

Isso também significa que a aplicação da correção mais recente sozinha é insuficiente para proteger contra o ataque, exigindo que os proprietários do site tomem medidas para gire as chaves de criptografia.

Ataques subsequentes observados em agosto de 2024 acorrentaram CosmicSting com CNEXT (CVE-2024-2961), uma vulnerabilidade na biblioteca iconv dentro da biblioteca GNU C (aka glibc), para alcançar a execução remota de código.

“CosmicSting (CVE-2024-34102) permite a leitura arbitrária de arquivos em sistemas não corrigidos. Quando combinado com o CNEXT (CVE-2024-2961), os agentes de ameaças podem escalar para a execução remota de código, assumindo todo o sistema” Sansec anotado.

O objetivo final dos compromissos é estabelecer acesso oculto e persistente no host via GSocket e inserir scripts desonestos que permitam a execução de JavaScript arbitrário recebido do invasor para roubar dados de pagamento inseridos pelos usuários nos sites.

As últimas descobertas mostram que várias empresas, incluindo Ray Ban, National Geographic, Cisco, Whirlpool e Segway, foram vítimas de ataques CosmicSting, com pelo menos sete grupos distintos participando dos esforços de exploração

• Grupo Bobry, que usa a codificação de espaço em branco para ocultar o código que executa um skimmer de pagamento hospedado em um servidor remoto
• Grupo Polyovki, que usa uma injeção de cdnstatics.net/lib.js
• Grupo Surki, que usa codificação XOR para ocultar o código JavaScript
• Grupo Burunduki, que acessa um código skimmer dinâmico de um WebSocket em wss://jgueurystatic[.]xyz:8101
• Grupo Ondatry, que usa malware personalizado do carregador JavaScript para injetar formulários de pagamento falsos que imitam os legítimos usados pelos sites comerciais
• Grupo Khomyaki, que exfiltra informações de pagamento para domínios que incluem um URI de 2 caracteres (“rextensão[.]net/za/”)
• Grupo Belki, que usa CosmicSting com CNEXT para plantar backdoors e malware skimmer

“Os comerciantes são fortemente aconselhados a atualizar para a versão mais recente do Magento ou Adobe Commerce”, disse Sansec. “Eles também devem girar chaves de criptografia secretas e garantir que as chaves antigas sejam invalidadas.”

Fonte: thehackernews.com