Los investigadores de ciberseguridad han revelado que el 5% de todas las tiendas de Adobe Commerce y Magento fueron pirateadas por actores maliciosos que explotaban una vulnerabilidad de seguridad llamada CosmicSting.
Seguimiento como CVE-2024-34102 (Puntuación CVSS: 9,8), la falla crítica se relaciona con una restricción inapropiada de la vulnerabilidad de referencia de entidad externa XML (XXE) que podría conducir a la ejecución remota de código. La brecha, atribuida a un investigador llamado “avispa espacial“, fue corregido por Adobe en junio de 2024.
La empresa de seguridad holandesa Sansec, que describir CosmicSting, considerado como “el peor error que ha afectado a las tiendas Magento y Adobe Commerce en dos años”, dijo que los sitios de comercio electrónico se ven comprometidos a un ritmo de tres a cinco por hora.
Desde entonces, la falla ha sido ampliamente explotada, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarla al catálogo de vulnerabilidades explotadas conocidas (KEV) a mediados de julio de 2024.
Algunos de estos ataques involucrar use la falla para robar la clave de cifrado secreta de Magento, que luego se usa para generar tokens web JSON (JWT) con acceso completo a la API administrativa. Luego se observó que los actores de amenazas aprovechaban la API REST de Magento para inyectar scripts maliciosos.
Esto también significa que aplicar el último parche por sí solo no es suficiente para proteger contra el ataque, lo que requiere que los propietarios del sitio tomen medidas para rotar claves de cifrado.
Los ataques posteriores observados en agosto de 2024 vincularon a CosmicSting con CNEXT (CVE-2024-2961), una vulnerabilidad en la biblioteca iconv dentro de la biblioteca GNU C (también conocida como glibc), que permite la ejecución remota de código.
“CosmicSting (CVE-2024-34102) permite la lectura arbitraria de archivos en sistemas sin parches. Cuando se combina con CNEXT (CVE-2024-2961), los actores maliciosos pueden cambiar a la ejecución remota de código, tomando el control de todo el sistema”, dijo Sansec. nota.
El objetivo final de los compromisos es establecer un acceso persistente y encubierto al host a través de GSocket e insertar scripts maliciosos que permitan la ejecución de JavaScript arbitrario recibido del atacante para robar datos de pago capturados por los usuarios en los sitios.
Los últimos hallazgos muestran que varias empresas, incluidas Ray Ban, National Geographic, Cisco, Whirlpool y Segway, han sido víctimas de ataques CosmicSting, con al menos siete grupos distintos participando en los esfuerzos de explotación:
- Grupo Bobryque utiliza codificación de espacios en blanco para ocultar el código que ejecuta un skimmer de pago alojado en un servidor remoto
- Grupo Poliovkique utiliza una inyección de cdnstatics.net/lib.js
- Grupo Surkique utiliza codificación XOR para ocultar el código JavaScript
- Grupo Burundukique accede al código del skimmer dinámico desde un WebSocket en wss://jgueurystatic[.]xyz: 8101
- Grupo Ondatrieque utiliza malware de carga de JavaScript personalizado para inyectar formularios de pago falsos que imitan los legítimos utilizados por los sitios comerciales.
- Grupo Jomyakique filtra información de pago a dominios que incluyen un URI de 2 caracteres (“extensión[.]net/za/”)
- Grupo Belkique utiliza CosmicSting con CNEXT para instalar puertas traseras y malware skimmer
“Se recomienda encarecidamente a los comerciantes que actualicen a la última versión de Magento o Adobe Commerce”, dijo Sansec. “También deberían alternar claves de cifrado secretas y asegurarse de que las claves antiguas queden invalidadas”.