Adobe Commerce (eski adıyla Magento), Adobe’ye ait olan ve hem B2B hem de B2C işletmeleri için esnek ve ölçeklenebilir çözümler sağlayan güçlü bir e-ticaret platformudur.
“Adobe Commerce Cloud” aracılığıyla “gelişmiş özelleştirme”, “entegre analiz” ve “bulut tabanlı barındırma” gibi özellikler sunar.
Sansec araştırma analistleri yakın zamanda tehdit aktörlerinin binlerce Adobe Commerce’i (Magento Mağazası olarak da bilinir) hacklemek için CosmicSting güvenlik açığından aktif olarak yararlandığını keşfetti.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Bilgisayar Korsanları CosmicSting Kusurundan Yararlanıyor
“CosmicSting” olarak bilinen ve “CVE-2024-34102” olarak takip edilen kritik bir güvenlik açığı, 11 Haziran 2024’ten bu yana yedi farklı hacker grubunun “4275 Adobe Commerce ve Magento e-ticaret platformlarını” tehlikeye atmasına olanak sağladı.
Güvenlik açığı özellikle platformların kriptografik anahtar sistemini hedef alıyordu.
Bu, tehdit aktörlerinin “yetkisiz API yetkilendirme belirteçleri” oluşturmasına olanak tanıdı ve bu da onlara “CMS blokları” aracılığıyla mağaza ödeme sayfalarına “ödeme skimmers” adı verilen kötü amaçlı kod enjekte etme erişimi sağladı.
Adobe’nin 8 Temmuz’da kritik önem derecesine sahip bir güvenlik yaması yayınlamasına rağmen, “tüm mağazaların yaklaşık %5’i etkilendi.”
Bunun nedeni, mevcut şifreleme anahtarlarını otomatik olarak geçersiz kılmayan ve “eski anahtarları” manuel olarak kaldırmadıkları takdirde satıcıları savunmasız bırakan güncelleme nedeniyle meydana geldi.
Şu şekilde tanımlanan saldırı grupları: –
- Bobry (boşluk kodlamasını kullanarak)
- Polyovki (cdnstatics.net’i kullanarak)
- Surki (42 tabanlı şifreleme kullanılıyor)
- Burunduki (websocket algılayıcılarının uygulanması)
- Ondatry (MultiSafePay ödeme sistemlerini hedefliyor)
Sansec, bu grupların operatörlerinin, etkilenen satıcılardan hassas müşteri ödeme bilgilerini çalmak için “kötü amaçlı yazılım yükleyicileri”, “özel gizleme yöntemleri” ve tehlikeye atılmış “proxy depoları” aracılığıyla “veri sızması” gibi çeşitli karmaşık teknikler kullandığını söyledi.
2024 CosmicSting siber saldırı kampanyası, gelişmiş “şifreleme anahtarı” kullanma teknikleri yoluyla savunmasız e-ticaret platformlarını hedef alan önemli bir tehdit olarak ortaya çıktı.
“Group Khomyaki” (2 karakterli URI’lere sahip iki harfli JSC kötü amaçlı yazılım yükleyici uç noktalarını kullanan), “Group Belki” (CNEXT ile yararlanma kombinasyonları aracılığıyla Uzaktan Kod Yürütme konuşlandıran) ve “Surki grubu” (kayma yapmasıyla tanınan) gibi çok sayıda tehdit aktörü kötü amaçlı yazılım enjeksiyonu) yama yapılmamış sistemlerden aktif olarak yararlanıyor.
Saldırganların metodolojisi, “sistem dosyaları” ve “arka plan süreçlerinde” arka kapılar oluşturmalarına yardımcı olan “otomatik tarama” yoluyla gizli şifreleme anahtarlarının çıkarılmasını içeriyor.
Bunun dışında “CosmicSting kötü amaçlı yazılımının” dağıtılması, yetkisiz sunucu erişimine ve kod yürütülmesine olanak tanır.
Otomatik şifreleme anahtarı taraması başladığında “Adobe Commerce ve Magento kurulumlarının yaklaşık %75’i” yama yapılmadan kaldı.
Azaltmalar
Bu tehditleri azaltmak için tüccarların üç kritik güvenlik önlemini uygulamaları şiddetle tavsiye edilir: –
- E-ticaret platformlarının en son sürümüne yükseltin.
- Eski şifreleme anahtarlarını döndürün ve geçersiz kılın.
- Sunucu tarafı kötü amaçlı yazılım ve güvenlik açığı izleme çözümlerini dağıtın.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri