Table of Contents
Vulnerabilidade CosmicSting afeta lojas Adobe Commerce e Magento
Pesquisadores em segurança cibernética divulgaram que 5% de todas as lojas Adobe Commerce e Magento foram hackeadas por atores maliciosos, explorando uma vulnerabilidade de segurança denominada CosmicSting.
Identificação da vulnerabilidade
A vulnerabilidade, rastreada como CVE-2024-34102 (pontuação CVSS: 9.8), refere-se a uma *restrição inadequada* da referência de entidade externa XML (XXE), que pode resultar em execução remota de código. A falha, creditada a um pesquisador conhecido como “spacewasp“, foi corrigida pela Adobe em junho de 2024.
Escalofríos na exploração da vulnerabilidade
A empresa de segurança holandesa Sansec descreveu o CosmicSting como o “pior bug a atingir lojas Magento e Adobe Commerce nos últimos dois anos”, mencionando que os sites de comércio eletrônico estão sendo comprometidos a uma taxa de três a cinco por hora.
A falha tem sido alvo de ampla exploração, levando a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a adicioná-la ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) em meados de julho de 2024.
Impacto dos ataques
Alguns destes ataques envolvem o uso da falha para roubar a chave de criptografia secreta do Magento, que é então utilizada para gerar Tokens de Web JSON (JWTs) com acesso total à API administrativa. Os atores de ameaça foram observados aproveitando a API REST do Magento para injetar scripts maliciosos.
Medidas de proteção e atualizações
Este cenário indica que aplicar a correção mais recente, por si só, é insuficiente para proteger contra o ataque, sendo necessário que os proprietários de sites adotem medidas como rotacionar as chaves de criptografia.
Desdobramentos recentes
Ataques subsequentes observados em agosto de 2024 conectaram o CosmicSting à vulnerabilidade CNEXT (CVE-2024-2961), uma falha na biblioteca iconv dentro da GNU C library (glibc), permitindo a execução remota de código.
Sansec ressaltou que:
“CosmicSting (CVE-2024-34102) permite leitura arbitrária de arquivos em sistemas não corrigidos. Quando combinado com CNEXT (CVE-2024-2961), atores de ameaça podem escalar para execução remota de código, assumindo o controle total do sistema.”
Objetivos dos atacantes
O objetivo final dos compromissos é estabelecer acesso persistente e discreto no host usando GSocket e inserir scripts maliciosos que permitem a execução de JavaScript arbitrário recebido do atacante, a fim de roubar dados de pagamento inseridos pelos usuários nos sites.
Grupos envolvidos nos ataques
A pesquisa mais recente revelou que várias empresas, incluindo Ray Ban, National Geographic, Cisco, Whirlpool e Segway, foram vítimas de ataques CosmicSting, com pelo menos sete grupos distintos participando das tentativas de exploração:
- Grupo Bobry, que utiliza codificação em branco para ocultar o código que executa um skimmer de pagamento hospedado em um servidor remoto.
- Grupo Polyovki, que emprega uma injeção de cdnstatics.net/lib.js.
- Grupo Surki, que usa codificação XOR para ocultar código JavaScript.
- Grupo Burunduki, que acessa um código skimmer dinâmico de um WebSocket em wss://jgueurystatic[.]xyz:8101.
- Grupo Ondatry, que utiliza malware de carregador JavaScript personalizado para injetar formulários de pagamento falsos que imitam os legítimos usados pelos sites comerciantes.
- Grupo Khomyaki, que exfiltra informações de pagamento para domínios que incluem um URI de 2 caracteres (“rextension[.]net/za/”).
- Grupo Belki, que utiliza o CosmicSting com CNEXT para plantar backdoors e malware skimmer.
“Os comerciantes são fortemente aconselhados a atualizar para a versão mais recente do Magento ou Adobe Commerce. Eles também devem rotacionar as chaves de criptografia secretas e garantir que as chaves antigas sejam invalidadas.”
#CosmicSting #SegurançaCibernética #AdobeCommerce #Magento #Vulnerabilidades
The Hacker News
https://thehackernews.com/2024/10/alert-adobe-commerce-and-magento-stores.html