Pesquisadores de segurança cibernética revelaram que 5% de todas as lojas Adobe Commerce e Magento foram invadidas por agentes mal-intencionados usando uma vulnerabilidade de segurança chamada CosmicSting.
É rastreado como CVE-2024-34102 (pontuação CVSS: 9,8), a falha crítica está relacionada à delimitação incorreta de uma referência de entidade externa XML (XXE) que pode levar à execução remota de código. A falha, fornecida por um pesquisador chamado “spacewasp”, foi registrada pela Adobe em junho de 2024.
A empresa de segurança holandesa Sansec, que descreveu o CosmicSting como “o pior bug que atingiu as lojas Magento e Adobe Commerce em dois anos”, disse que os sites de comércio eletrônico estavam sendo comprometidos a uma taxa de 3 a 5 por hora.
Desde então, esta falha foi amplamente explorada, o que levou a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA a adicioná-la ao catálogo conhecido como Vulnerabilidades Exploradas Conhecidas (KEV) em meados de julho de 2024.
Um desses ataques envolve o uso de um bug para roubar a chave de criptografia privada do Magento, que é então usada para gerar JSON Web Tokens (JWTs) com controle total de acesso à API. Os atores da ameaça são então vistos usando a API REST do Magento para injetar scripts maliciosos.
Isso também significa que usar as correções mais recentes por si só não é suficiente para proteger contra ataques, exigindo que os proprietários de sites tomem medidas para alternar as chaves de criptografia.
Um ataque subsequente observado em agosto de 2024 vinculou CosmicSting e CNEXT (CVE-2024-2961), uma vulnerabilidade na biblioteca iconv dentro da biblioteca GNU C (também conhecida como glibc), para obter execução remota de código.
“CosmicSting (CVE-2024-34102) permite a leitura arbitrária de arquivos em programas não publicados. Quando combinado com CNEXT (CVE-2024-2961), os agentes de ameaças podem prosseguir para a execução remota de código, assumindo o controle de todo o sistema”, observa Sansec.
O objetivo final do compromisso é estabelecer acesso persistente e secreto ao host via GSocket e instalar scripts rígidos que permitem o uso de JavaScript obtido de um invasor para roubar dados de pagamento inseridos por usuários em sites.
Descobertas recentes mostram que várias empresas, incluindo Ray Ban, National Geographic, Cisco, Whirlpool e Segway, foram vítimas de ataques CosmicSting, com pelo menos sete grupos diferentes envolvidos nos esforços de exploração –
- Equipe Borryque usa codificação de espaço em branco para ocultar código usando um skimmer hospedado em um servidor remoto
- Grupo Polyovkique usa uma injeção de cdnstatics.net/lib.js
- Grupo Surkique usa codificação XOR para criptografar código JavaScript
- Grupo Burndukique acessa o código do skimmer dinâmico do WebSocket em wss://jguerystatic[.]xiz:8101
- Grupo Ondatryque usa malware de carregamento de JavaScript para inserir formulários de pagamento falsos que imitam os legítimos usados por sites comerciais.
- Grupo Khomyakique extrai informações de pagamento de domínios que incluem um URI de 2 caracteres (“rextension[.]líquido/za/”)
- O grupo Belkiusando CosmicSting e CNEXT para plantar backdoors e malware
“Os comerciantes são fortemente aconselhados a atualizar para a versão mais recente do Magento ou Adobe Commerce”, disse Sansec. “Eles também deveriam alternar as chaves de criptografia privadas e garantir que as chaves antigas sejam inválidas.”
