Los investigadores de ciberseguridad han revelado que el 5% de todas las tiendas de Adobe Commerce y Magento han sido pirateadas por actores maliciosos al explotar una vulnerabilidad de seguridad denominada CosmicSting.
Seguimiento como CVE-2024-34102 (Puntuación CVSS: 9,8), la falla crítica se relaciona con una restricción inadecuada de la vulnerabilidad de referencia de entidad externa XML (XXE) que podría resultar en la ejecución remota de código. La deficiencia, atribuida a un investigador llamado «avispa espacial,» fue parcheado por Adobe en junio de 2024.
La empresa de seguridad holandesa Sansec, que ha descrito CosmicSting, como «el peor error que ha afectado a las tiendas Magento y Adobe Commerce en dos años», dijo que los sitios de comercio electrónico se están viendo comprometidos a un ritmo de tres a cinco por hora.
Desde entonces, la falla ha sido objeto de una explotación generalizada, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarla al catálogo de vulnerabilidades explotadas conocidas (KEV) a mediados de julio de 2024.
Algunos de estos ataques involucrar utilizando la falla como arma para robar la clave de cifrado secreta de Magento, que luego se utiliza para generar tokens web JSON (JWT) con acceso completo a la API administrativa. Luego se ha observado que los actores de amenazas aprovechan la API REST de Magento para inyectar scripts maliciosos.
Esto también significa que aplicar la última solución por sí sola no es suficiente para protegerse contra el ataque, por lo que es necesario que los propietarios del sitio tomen medidas para rotar las claves de cifrado.
Los ataques posteriores observados en agosto de 2024 han encadenado a CosmicSting con CNEXT (CVE-2024-2961), una vulnerabilidad en la biblioteca iconv dentro de la biblioteca GNU C (también conocida como glibc), para lograr la ejecución remota de código.
«CosmicSting (CVE-2024-34102) permite la lectura arbitraria de archivos en sistemas sin parches. Cuando se combina con CNEXT (CVE-2024-2961), los actores de amenazas pueden escalar a la ejecución remota de código, apoderándose de todo el sistema», Sansec anotado.
El objetivo final de los compromisos es establecer un acceso persistente y encubierto al host a través de GSocket e insertar scripts no autorizados que permitan la ejecución de JavaScript arbitrario recibido del atacante para robar datos de pago ingresados por los usuarios en los sitios.
Los últimos hallazgos muestran que varias empresas, incluidas Ray Ban, National Geographic, Cisco, Whirlpool y Segway, han sido víctimas de ataques CosmicSting, con al menos siete grupos distintos participando en los esfuerzos de explotación.
- grupo bobryque utiliza codificación de espacios en blanco para ocultar el código que ejecuta un skimmer de pago alojado en un servidor remoto
- Grupo Poliovkique utiliza una inyección de cdnstatics.net/lib.js
- Grupo Surkique utiliza codificación XOR para ocultar el código JavaScript
- Grupo Burundukique accede a un código de skimmer dinámico desde un WebSocket en wss://jgueurystatic[.]xyz: 8101
- Ondatría grupalque utiliza malware de carga de JavaScript personalizado para inyectar formas de pago falsas que imitan las legítimas utilizadas por los sitios comerciales
- Grupo Jomyakique extrae información de pago a dominios que incluyen un URI de 2 caracteres («rextensión[.]net/za/»)
- Grupo Belkique utiliza CosmicSting con CNEXT para instalar puertas traseras y malware skimmer
«Se recomienda encarecidamente a los comerciantes que actualicen a la última versión de Magento o Adobe Commerce», dijo Sansec. «También deberían rotar las claves de cifrado secretas y garantizar que las claves antiguas queden invalidadas».