Adobe Commerce ve Magento çevrimiçi mağazaları endişe verici bir oranda "Cosmicsting" saldırılarında hedefleniyor ve tehdit aktörleri tüm mağazaların yaklaşık% 5'ini hackliyor.
Cosmicsting güvenlik açığı (CVE-2024-34102) kritik bir şiddet bilgisi açıklama kusurudur; GlibC'nin ICONV işlevinde bir güvenlik sorunu olan CVE-2024-2961 ile zincirlendiğinde, bir saldırgan hedef sunucuda uzaktan kod yürütme sağlayabilir.
Kritik kusur aşağıdaki ürünleri etkiler:
Web sitesi güvenlik şirketi Sansec, Haziran 2024'ten bu yana saldırıları izliyor ve BleepingComputer'ın geçen ay bildirdiği Whirlpool, Ray-Ban, National Geography, Segway ve Cisco da dahil olmak üzere yüksek profilli kurbanlar, kozmik saldırılarda ihlal edilen 4.275 mağazanın gözlemlendi.
Sansec, yama hızı durumun eleştirel doğasıyla eşleşmediğinden, birden fazla tehdit aktörünün saldırı yürüttüğünü söylüyor.
Sansec, "Sansec, Adobe Commerce & Magento kurulum tabanının% 75'i gizli şifreleme anahtarları için otomatik tarama başladığında yamamıştı."
Sansec'in tahmin ettiği gibi, Cosmicsting'in güvenlik güncellemelerini uygulamak için az teknik detaylar ve acil bir bildirim ile açıklandığında, e-ticaret ekosistemine yönelik en kötü tehditlerden birini duyurdu.
Araştırmacılar şimdi "Bobry", "Polyovki", "Surki", "Burunduki", "Ondatry," "Khomyaki" ve "Belki" adlı eşleştirilmemiş sitelerden ödün vermek için Cosmicsting'i kullanan yedi farklı tehdit grubunu izliyorlar. Bu gruplar, kredi kartı ve müşteri bilgilerini çalmak için siteleri ihlal ederek finansal olarak motive edilmiş oportünist olarak kabul edilir.
Ondatry, 2022'de "Trojanorder" kusurunu kullanıyordu, ancak şimdi bazı tehdit aktörlerinin uzayda nasıl uzmanlaştığını ve sürekli olarak kolayca yararlanabilir kritik güvenlik açıklarındaki fırsatları aradığını gösteren Cosmicsting'e taşındı.
Tehdit oyuncuları, Magento Cryptografik anahtarları çalmak için Cosmicsting'den yararlanıyor, sipariş kontrolü web sayfalarından kartları çalmak için ödeme sıyırıcılarını enjekte ediyor ve hatta savunmasız mağazalar üzerinde kontrol için birbirleriyle savaşıyor.
Kötü amaçlı komut dosyaları, tanınmış JavaScript kütüphaneleri veya analitik paketleri olarak görünecek alan adlarından ödün verilen sitelere enjekte edilir. Örneğin, Burunduki bilgisayar korsanları 'JguuryStatic [.] XYZ' alanını JQuery gibi görünmek için kullanır.
Polyovki tehdit aktörleri, komut dosyaları Ray-Ban'ın çevrimiçi mağazasının uzlaşmasında gösterildiği gibi, senaryolar web sitesi analizi içinmiş gibi görünmek için 'cdnstatics [.] Net' kullanıyor.
BleepingComputer Lib.js komut dosyasını bozdu ve aşağıda komut dosyasının müşterilerin kredi kartı numaralarını, adlarını, son kullanma tarihlerini, güvenlik kodlarını ve müşteri bilgilerini çalmaya çalıştığını görebilirsiniz.
Sansec, BleepingComputer'a Ray-Ban, Whirlpool, National Geographic ve Segway de dahil olmak üzere birçok siteyi bu saldırıları birçok kez konusunda uyardığını ancak hiçbirinden haber almadığını söyledi. BleepingComputer da dün etkilenen markaları e -postayla gönderdi, ancak henüz bir yanıt almadık.
Sansec'in kurucusu Willem De Groot, Segway ve Whirlpool'un sabit göründüğünü ve BleepingComputer'ın Ray-Ban'ın sitesinde kötü amaçlı kodu bulamadığını ve bunun da düzeltilebileceğini gösterdiğini söylüyor.
Web sitesi yöneticilerine aşağıdaki sürümlere (veya daha sonra) geçmeleri şiddetle tavsiye edilir:
Daha fazla ayrıntı Adobe'nin Danışmanlığı'nda mevcuttur.
Sansec, sitelerinin savunmasız olup olmadığını kontrol etmek için bir araç sağladı ve her ikisi de burada mevcut olan çoğu kozmik saldırıyı engellemek için bir "acil durum hotfix" yayınlandı.
Kamusal istismar ile kritik Ivanti RCE kusuru şimdi saldırılarda kullanılan
Kritik İlerleme Whatup RCE Kusur şimdi aktif sömürü altında
Cisa aktif olarak sömürülen Apache devgraph-server hatası konusunda uyarıyor
Güney Koreli hackerlar, kötü amaçlı yazılımları dağıtmak için WPS Ofisi Zero Day'den yararlandı
CISA, kritik Solarwinds RCE Hatası saldırılarda kullanıldığı konusunda uyarıyor
Kaynak: Bleeping Computer