Adobe Commerce ve Magento web sitelerini etkileyen “CosmicSting” adı verilen bir güvenlik açığı, güvenlik güncellemesinin kullanıma sunulmasından dokuz gün sonra büyük ölçüde yama yapılmadan kalıyor ve milyonlarca siteyi yıkıcı saldırılara açık bırakıyor.
Sansec’in istatistiklerine göre, etkilenen e-ticaret platformlarını kullanan yaklaşık dört web sitesinden üçü CosmicSting’e karşı yama yapmadı; bu da onları XML harici varlık enjeksiyonu (XXE) ve uzaktan kod yürütme (RCE) riskiyle karşı karşıya bırakıyor.
Sansec, “CosmicSting (aka CVE-2024-34102), Magento ve Adobe Commerce mağazalarında iki yıl içinde görülen en kötü hatadır” diyor.
“Kendi başına, herkesin özel dosyaları (şifre içeren dosyalar gibi) okumasına olanak tanıyor. Ancak, Linux’taki son iconv hatasıyla birleştiğinde, uzaktan kod yürütmenin güvenlik kabusuna dönüşüyor.”
Kritik olarak derecelendirilen (CVSS puanı: 9,8) kusur, aşağıdaki ürün sürümlerini etkilemektedir:
- Adobe Commerce 2.4.7 ve öncesi; 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 dahil
- Adobe Commerce Genişletilmiş Destek 2.4.3-ext-7 ve öncesi, 2.4.2-ext-7 ve öncesi, 2.4.1-ext-7 ve öncesi, 2.4.0-ext-7 ve öncesi, 2.3.7-p4- ext-7 ve öncesi.
- Magento Açık Kaynak 2.4.7 ve öncesi; 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 dahil
- Adobe Commerce Webhook Eklentisi sürümleri 1.2.0 ila 1.4.0
Sansec, Adobe’nin aktif istismarı körüklememek için bülteninde teknik detayları atlamasına rağmen, analistlerinin saldırıyı yeniden oluşturmak için kullandığı yama kodundan etkili saldırı yöntemlerinin kolaylıkla çıkarılabileceğini söylüyor.
Etkili saldırı yollarının belirlenmesinin ciddiyeti ve düşük karmaşıklığına dayanarak Sansec, CosmicSting’in “Shoplift”, “Ambionics” ve “Truva Düzeni” ile birlikte e-ticaret tarihindeki en zarar verici saldırılardan biri olmak için tüm kutuları işaretlediğini tahmin ediyor.
Şimdi düzeltmeyi veya azaltmayı uygulayın
Satıcı, CVE-2024-34102 için aşağıdaki sürümlerle birlikte düzeltmeler yayımladı; e-ticaret platformu yöneticilerinin mümkün olan en kısa sürede uygulamaları önerilir:
- Adobe Ticaret 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
- Adobe Commerce Genişletilmiş Destek 2.4.3-ext-8, 2.4.2-ext-8, 2.4.1-ext-8, 2.4.0-ext-8, 2.3.7-p4-ext-8
- Magento Açık Kaynak 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
- Adobe Commerce Webhook Eklentisi sürüm 1.5.0
Sansec, site yöneticilerinin, ödeme işlevini bozabilecek bir sorunu önlemek için yükseltme yapmadan önce ‘Yalnızca Rapor’ moduna geçmelerini önerir.
Şu anda yükseltme yapamayanlar için aşağıdaki iki önlemi almaları önerilir:
Öncelikle, aşağıdaki komutu kullanarak Linux sisteminizin CVE-2024-2961’e karşı savunmasız bir glibc kitaplığı kullanıp kullanmadığını kontrol edin ve gerektiği gibi yükseltin. Aşağıdaki komut, bir C kaynak kodu dosyası indirecek, derleyecek ve savunmasız olup olmadığınızı tespit etmek için bilgisayarınızda çalıştıracaktır.
curl -sO https://sansec.io/downloads/cve-2024-2961.c &&
gcc cve-2024-2961.c -o poc &&
./poc
Daha sonra, CosmicSting saldırılarının çoğunu engellemek için ‘app/bootstrap.php’ dosyasına aşağıdaki “acil durum düzeltme” kodunu eklemeniz gerekir.
if (strpos(file_get_contents('php://input'), 'dataIsURL') !== false) {
header('HTTP/1.1 503 Service Temporarily Unavailable');
header('Status: 503 Service Temporarily Unavailable');
exit;
}
BleepingComputer düzeltmeyi test etmedi ve etkililiğini veya güvenliğini garanti edemez; bu nedenle riski size ait olmak üzere kullanın.