Adobe Commerce ve Magento çevrimiçi mağazaları endişe verici bir oranda “CosmicSting” saldırılarına hedef oluyor ve tehdit aktörleri tüm mağazaların yaklaşık %5’ini hackliyor.
CosmicSting güvenlik açığı (CVE-2024-32102), kritik öneme sahip bir bilgi ifşa kusurudur; Bir saldırgan, glibc’nin iconv işlevindeki bir güvenlik sorunu olan CVE-2024-2961 ile zincirlendiğinde, hedef sunucuda uzaktan kod yürütmeyi gerçekleştirebilir.
Kritik kusur aşağıdaki ürünleri etkiliyor:
- Adobe Commerce 2.4.7 ve öncesi; 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 dahil
- Adobe Commerce Genişletilmiş Destek 2.4.3-ext-7 ve öncesi, 2.4.2-ext-7 ve öncesi, 2.4.1-ext-7 ve öncesi, 2.4.0-ext-7 ve öncesi, 2.3.7-p4- ext-7 ve öncesi.
- Magento Açık Kaynak 2.4.7 ve öncesi; 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 dahil
- Adobe Commerce Webhook Eklentisi sürümleri 1.2.0 ila 1.4.0
Web sitesi güvenlik şirketi Sansec, Haziran 2024’ten bu yana saldırıları izliyor ve BleepingComputer’ın geçen ay bildirdiği CosmicSting saldırılarında 4.275 mağazanın ihlal edildiğini, aralarında Whirlpool, Ray-Ban, National Geographic, Segway ve Cisco’nun da bulunduğu yüksek profilli kurbanları gözlemledi.
Sansec, yama hızının durumun kritik doğasıyla eşleşmemesi nedeniyle birden fazla tehdit aktörünün artık saldırı düzenlediğini söylüyor.
Sansec, “Sansec, gizli şifreleme anahtarları için otomatik tarama başladığında Adobe Commerce & Magento kurulum tabanının %75’i yama yapmadığından önümüzdeki aylarda daha fazla mağazanın saldırıya uğrayacağını tahmin ediyor” diye uyarıyor.
Son yılların en kötü saldırı dalgası
Sansec’in öngördüğü gibi, CosmicSting çok az teknik ayrıntıyla ve güvenlik güncellemelerinin uygulanmasına yönelik acil bir bildirimle açıklandığında, e-ticaret ekosistemine yönelik en kötü tehditlerden birini duyurdu.
Araştırmacılar şu anda CosmicSting’i yama uygulanmamış siteleri ele geçirmek için kullanan “Bobry”, “Polyovki”, “Surki”, “Burunduki”, “Ondatry”, “Khomyaki” ve “Belki” adlı yedi farklı tehdit grubunu izliyor. Bu gruplar, kredi kartı ve müşteri bilgilerini çalmak için siteleri ihlal eden, finansal motivasyona sahip fırsatçılar olarak değerlendiriliyor.
Ondatry, 2022’de “TrojanOrder” kusurunu kullanıyordu ancak şimdi CosmicSting’e geçti. Bu, bazı tehdit aktörlerinin bu alanda nasıl uzmanlaştığını ve sürekli olarak kolaylıkla istismar edilebilecek kritik güvenlik açıklarındaki fırsatları aradığını gösteriyor.
Tehdit aktörleri, Magento kriptografik anahtarlarını çalmak için CosmicSting’den yararlanıyor, sipariş ödeme web sayfalarından kartları çalmak için ödeme skimmer’ları enjekte ediyor ve hatta savunmasız mağazaların kontrolü için birbirleriyle savaşıyor.
Kötü amaçlı komut dosyaları, iyi bilinen JavaScript kitaplıkları veya analiz paketleri olarak görünecek şekilde adlandırılan alanlardaki güvenliği ihlal edilmiş sitelere enjekte edilir. Örneğin Burunduki hackerları ‘jgueurystatic’ alan adını kullanıyor[.]xyz’ jQuery gibi görünecek.
Polyovki tehdit aktörleri ‘cdnstatics’ kullanıyor[.]net’, Ray-Ban’in çevrimiçi mağazasının güvenliğinin ihlal edilmesinde gösterildiği gibi, komut dosyalarının web sitesi analitiği içinmiş gibi görünmesini sağlar.
Kaynak: Sansec
BleepingComputer, lib.js komut dosyasının gizliliğini kaldırdı ve aşağıda komut dosyasının müşterilerin kredi kartı numaralarını, adlarını, son kullanma tarihlerini, güvenlik kodlarını ve müşteri bilgilerini çalmaya çalıştığını görebilirsiniz.
Kaynak: BleepingComputer
Sansec, BleepingComputer’a aralarında Ray-Ban, Whirlpool, National Geographic ve Segway’in de bulunduğu birçok siteyi bu saldırılar konusunda defalarca uyardığını ancak hiçbirinden haber alamadığını söyledi. BleepingComputer da etkilenen markalara dün e-posta gönderdi ancak henüz bir yanıt alamadık.
Sansec kurucusu Willem de Groot, Segway ve Whirlpool’un düzeltilmiş gibi göründüğünü ve BleepingComputer’ın Ray-Ban’in sitesinde kötü amaçlı kodu bulamadığını, bunun da düzeltilmiş olabileceğini belirtti.
Web sitesi yöneticilerinin mümkün olan en kısa sürede aşağıdaki sürümlere (veya daha yenisine) geçmeleri şiddetle tavsiye edilir:
- Adobe Ticaret 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
- Adobe Commerce Genişletilmiş Destek 2.4.3-ext-8, 2.4.2-ext-8, 2.4.1-ext-8, 2.4.0-ext-8, 2.3.7-p4-ext-8
- Magento Açık Kaynak 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
- Adobe Commerce Webhook Eklentisi sürüm 1.5.0
Sansec, sitelerinin savunmasız olup olmadığını kontrol etmek için bir araç sağladı ve CosmicSting saldırılarının çoğunu engellemek için bir “acil durum düzeltmesi” yayınlandı; her ikisine de buradan ulaşabilirsiniz.