Magazinele online Adobe Commerce și Magento sunt vizate în atacurile CosmicSting într-o măsură alarmantă, cu actorii de amenințare care sparg aproximativ 5% dintre toate magazinele.
Vulnerabilitatea CosmicSting (CVE-2024-32102) este o defecțiune de divulgare a informațiilor de gravitate critică; atunci când este înlănțuită cu CVE-2024-2961, o problemă de securitate în funcția iconv a glibc, un atacator poate realiza execuție de cod la distanță pe serverul țintă.
Defecțiunea critică afectează următoarele produse:
Compania de securitate a site-urilor web Sansec a urmărit atacurile începând din iunie 2024 și a observat 4.275 de magazine pătrunse în atacurile CosmicSting, victime de înaltă notorietate incluzând Whirlpool, Ray-Ban, National Geographic, Segway și Cisco, despre care a raportat BleepingComputer luna trecută.
Sansec afirmă că mai mulți actori de amenințare desfășoară acum atacuri deoarece viteza de patchare nu se potrivește cu natura critică a situației.
„Sansec proiectează că mai multe magazine vor fi sparte în lunile următoare, deoarece 75% din baza instalată Adobe Commerce & Magento nu aplicase patch-ul când scanarea automată pentru cheile de criptare secrete a început,” avertizează Sansec.
Așa cum prezisese Sansec, atunci când a fost divulgat CosmicSting cu puține detalii tehnice și o notificare urgentă pentru aplicarea actualizărilor de securitate, s-a anunțat una dintre cele mai mari amenințări pentru ecosistemul de comerț electronic.
Cercetătorii urmăresc acum șapte grupuri diferite de amenințare care folosesc CosmicSting pentru a compromite site-uri nepatchate, numite „Bobry,” „Polyovki,” „Surki,” „Burunduki,” „Ondatry,” „Khomyaki,” și „Belki.” Aceste grupuri sunt considerate oportuniști motivați financiar, pătrunzând în site-uri pentru a fura informații despre carduri de credit și clienți.
Ondatry folosea defectul „TrojanOrder” în 2022, dar acum a trecut la CosmicSting, ceea ce arată cum unii actori de amenințare se specializează în acest spațiu și caută continuu oportunități în vulnerabilitățile critice ușor de exploatat.
Amenințările folosesc CosmicSting pentru a fura cheile criptografice Magento, a injecta dispozitive de skimming pentru a fura carduri din paginile de finalizare a comenzii și chiar pentru a lupta între ele pentru controlul asupra magazinelor vulnerabile.
Scripturile malitioase sunt injectate în site-urile compromise din domenii care sunt denumite pentru a părea a fi biblioteci JavaScript sau pachete de analiză bine-cunoscute. De exemplu, hackerii Burunduki utilizează domeniul ‘jgueurystatic[.]xyz’ pentru a părea a fi jQuery.
Actorii de amenințare Polyovki folosesc ‘cdnstatics[.]net’ pentru a părea că scripturile sunt pentru analiza site-ului, așa cum se arată în compromisul magazinului online Ray-Ban.
BleepingComputer a deobfuscat scriptul lib.js, și puteți vedea mai jos că scriptul încearcă să fure numerele de carduri de credit ale clienților, numele, datele de expirare, codurile de securitate și informațiile despre clienți.
Sansec a declarat pentru BleepingComputer că a avertizat multe dintre site-uri, inclusiv Ray-Ban, Whirlpool, National Geographic și Segway, despre aceste atacuri de mai multe ori, dar nu a primit răspuns de la niciunul dintre acestea. BleepingComputer a trimis și un email mărcilor afectate ieri, dar încă nu a primit un răspuns.
Fondatorul Sansec, Willem de Groot, spune că Segway și Whirlpool par să fie rezolvate și BleepingComputer nu a putut găsi codul malitios pe site-ul Ray-Ban, indicând că ar putea fi rezolvat de asemenea.
Administratorii site-urilor web sunt sfătuiți cu tărie să treacă la următoarele versiuni (sau mai recente) cât mai curând posibil:
Sansec a furnizat un instrument pentru a verifica dacă site-ul lor este vulnerabil și a fost lansat un „hotfix de urgență” pentru a bloca cele mai multe atacuri CosmicSting, ambele disponibile aici.
Defecțiunea critică Ivanti RCE cu exploit public folosit acum în atacuri
Defecțiunea critică Progress WhatsUp RCE acum sub exploatare activă
CISA avertizează că bug-ul Apache HugeGraph-Server este exploatat activ
Hackerii sud-coreeni au exploatat zero-day-ul WPS Office pentru a desfășura malware
CISA avertizează că defectul critic SolarWinds RCE este exploatat în atacuri
Leave a Reply