{"id":1385413,"date":"2024-10-02T13:55:44","date_gmt":"2024-10-02T13:55:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/alerta-las-tiendas-adobe-commerce-y-magento-estan-siendo-atacadas-por-el-exploit-cosmicsting\/"},"modified":"2024-10-02T13:55:49","modified_gmt":"2024-10-02T13:55:49","slug":"alerta-las-tiendas-adobe-commerce-y-magento-estan-siendo-atacadas-por-el-exploit-cosmicsting","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/alerta-las-tiendas-adobe-commerce-y-magento-estan-siendo-atacadas-por-el-exploit-cosmicsting\/","title":{"rendered":"Alerta: Las tiendas Adobe Commerce y Magento est\u00e1n siendo atacadas por el exploit CosmicSting"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>02 de octubre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad\/violaci\u00f3n de datos<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad han revelado<\/a> que el 5% de todas las tiendas de Adobe Commerce y Magento han sido pirateadas por actores maliciosos al explotar una vulnerabilidad de seguridad denominada CosmicSting.<\/p>\n

Seguimiento como CVE-2024-34102<\/strong> (Puntuaci\u00f3n CVSS: 9,8), la falla cr\u00edtica se relaciona con una restricci\u00f3n inadecuada de la vulnerabilidad de referencia de entidad externa XML (XXE) que podr\u00eda resultar en la ejecuci\u00f3n remota de c\u00f3digo. La deficiencia, atribuida a un investigador llamado “avispa espacial<\/a>,” fue parcheado por Adobe en junio de 2024.<\/p>\n

La empresa de seguridad holandesa Sansec, que ha descrito<\/a> CosmicSting, como “el peor error que ha afectado a las tiendas Magento y Adobe Commerce en dos a\u00f1os”, dijo que los sitios de comercio electr\u00f3nico se est\u00e1n viendo comprometidos a un ritmo de tres a cinco por hora.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Desde entonces, la falla ha sido objeto de una explotaci\u00f3n generalizada, lo que llev\u00f3 a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarla al cat\u00e1logo de vulnerabilidades explotadas conocidas (KEV) a mediados de julio de 2024.<\/p>\n

Algunos de estos ataques involucrar<\/a> utilizando la falla como arma para robar la clave de cifrado secreta de Magento, que luego se utiliza para generar tokens web JSON (JWT) con acceso completo a la API administrativa. Luego se ha observado que los actores de amenazas aprovechan la API REST de Magento para inyectar scripts maliciosos.<\/p>\n

\"Tiendas<\/a><\/div>\n

Esto tambi\u00e9n significa que aplicar la \u00faltima soluci\u00f3n por s\u00ed sola no es suficiente para protegerse contra el ataque, por lo que es necesario que los propietarios del sitio tomen medidas para rotar las claves de cifrado<\/a>.<\/p>\n

Los ataques posteriores observados en agosto de 2024 han encadenado a CosmicSting con CNEXT (CVE-2024-2961<\/a>), una vulnerabilidad en la biblioteca iconv dentro de la biblioteca GNU C (tambi\u00e9n conocida como glibc), para lograr la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n

“CosmicSting (CVE-2024-34102) permite la lectura arbitraria de archivos en sistemas sin parches. Cuando se combina con CNEXT (CVE-2024-2961), los actores de amenazas pueden escalar a la ejecuci\u00f3n remota de c\u00f3digo, apoder\u00e1ndose de todo el sistema”, Sansec anotado<\/a>.<\/p>\n

El objetivo final de los compromisos es establecer un acceso persistente y encubierto al host a trav\u00e9s de GSocket e insertar scripts no autorizados que permitan la ejecuci\u00f3n de JavaScript arbitrario recibido del atacante para robar datos de pago ingresados \u200b\u200bpor los usuarios en los sitios. <\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Los \u00faltimos hallazgos muestran que varias empresas, incluidas Ray Ban, National Geographic, Cisco, Whirlpool y Segway, han sido v\u00edctimas de ataques CosmicSting, con al menos siete grupos distintos participando en los esfuerzos de explotaci\u00f3n.<\/p>\n