E-ticaret güvenliği açısından rahatsız edici bir gelişme olarak, siber güvenlik uzmanları, tehdit aktörlerinin saatte 3 ila 5 web sitesini tehlikeye atmak için CosmicSting güvenlik açığından (CVE-2024-34102) aktif olarak yararlandığını ortaya çıkardı.
Adobe Commerce ve Magento platformlarını etkileyen bu kritik güvenlik açığı, son iki yılda bu sistemlerde görülen en kötü hata olarak adlandırılıyor.
Ortak Güvenlik Açığı Puanlama Sistemi’nde (CVSS) 10 üzerinden 9,8 ciddiyet puanı alan CosmicSting güvenlik açığı, saldırganların hedeflenen sunucudaki parolalar ve şifreleme anahtarları gibi hassas bilgiler de dahil olmak üzere her türlü dosyayı okumasına olanak tanıyor.
Bu erişim, kötü niyetli aktörlerin Magento API aracılığıyla CMS bloklarını değiştirmesine ve zararlı JavaScript kodu yerleştirmesine olanak tanıyarak potansiyel olarak müşteri verilerinin çalınmasına yol açabilir.
E-ticaret güvenliği konusunda uzmanlaşmış bir firma olan Sansec’teki güvenlik araştırmacıları durumu yakından izliyor. Adobe Commerce ve Magento’nun savunmasız sürümlerini çalıştıran mağazaların endişe verici bir oranda hedef alındığını bildiriyorlar.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
CosmicSting güvenlik açığı Vahşi doğada istismar edildi
Commerce ve Magento 2.4.7 ve öncesi, 2.4.6-p5 ve öncesi, 2.4.5-p7 ve öncesi ve 2.4.4-p8 ve öncesi olacaktır.
Tipik saldırı stratejisi, app/etc/env.php dosyasından gizli şifreleme anahtarının çalınmasını içerir. Saldırganlar bu anahtarla Magento API’sine sınırsız erişim sağlayan bir JSON Web Token (JWT) oluşturabilir.
Daha sonra ödeme bilgileri de dahil olmak üzere müşteri verilerini çalmak için kullanılabilecek kötü amaçlı komut dosyalarını CMS bloklarına enjekte etmeye devam ediyorlar.
Bu güvenlik açığını özellikle tehlikeli kılan şey, başka bir güvenlik açığıyla (CVE-2024-2961) birleştirilebilme potansiyelidir. Bu kombinasyon, saldırganların kodu doğrudan tehlikeye atılan sunucularda yürütmesine ve kalıcı erişim için potansiyel olarak arka kapılar kurmasına olanak tanır.
CosmicSting’i çevreleyen olayların zaman çizelgesi endişe verici. Adobe ilk olarak 11 Haziran 2024’te düşük önem derecesine sahip bir düzeltme yayınladı.
Ancak güvenlik açığının gerçek etkisi ortaya çıktıkça ciddiyet derecesi giderek artırıldı. 8 Temmuz itibarıyla kritik duruma yükseltilmişti.
Bu uyarılara rağmen birçok e-ticaret sitesi yamasız kaldı ve bu siteler istismara açık hale geldi. Güvenlik uzmanları, CosmicSting güvenlik açığından aktif olarak yararlanan en az sekiz farklı grup tespit etti.
Bu gruplar, özel ödeme formları enjekte etmekten, kötü amaçlı kodlarını gizlemek için gizleme tekniklerini kullanmaya kadar çeşitli taktikler kullanıyor. Bazı saldırganlar özellikle ev markaları da dahil olmak üzere yüksek profilli mağazaları hedef alıyor.
Bu saldırıların hızlı temposu (saatte 3 ila 5 web sitesinin tehlikeye girmesi), etkilenen işletmelerin acilen harekete geçmesi gerektiğinin altını çiziyor.
Uzmanlar, tüm Adobe Commerce ve Magento mağazası sahiplerinin kurulumlarını mümkün olan en kısa sürede en son sürüme (2.4.7-p2) yükseltmelerini şiddetle tavsiye ediyor.
Hemen yükseltme yapamayanlar için Adobe tarafından sağlanan izole yamayı uygulamak çok önemlidir.
Ayrıca işletmelerin eski şifreleme anahtarlarının ele geçirilmiş olabileceğini varsaymaları da hayati önem taşıyor. Güvenlik uzmanları, daha fazla kötüye kullanımı önlemek için yeni anahtarlar oluşturmanızı ve eski anahtarları geçersiz kılmanızı tavsiye ediyor.
Durum gelişmeye devam ettikçe, e-ticaret işletmeleri uyanık kalmalı ve siber güvenlik önlemlerine öncelik vermelidir.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)