3. Taraf Risk Yönetimi, Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Cisco ve National Geographic Mağazaları Dahil 4.387 Çevrimiçi Satıcının Güvenliği Ele Geçirildi
Mathew J. Schwartz (euroinfosec) •
4 Ekim 2024
Adobe Commerce ve Magento yazılımını çalıştıran binlerce çevrimiçi mağaza bu yazdan itibaren saldırıya uğradı ve dijital ödeme skimmer’ları bulaştı.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Tüccarların çevrimiçi mağazalarını güvence altına almasına yardımcı olan bir Amsterdam firması olan Sansec, saldırganların kimlik bilgilerini çalmak için CVE-2024-34102 (diğer adıyla CosmicSting) olarak takip edilen her iki yazılım platformundaki artık yamalanmış kusurlardan yararlandığını söyledi (bkz.: E-Ticaret Mağazaları: %12’si Özel Yedeklemeleri Herkese Açık Olarak Gösteriyor).
Yazılımda CVE-2024-2961 olarak takip edilen başka bir kusurla birleştirildiğinde, saldırganların “doğrudan sunucularınızda kod çalıştırıp bunu arka kapıları yüklemek için kullanabileceği” belirtildi.
Sansec verileri, Salı günü itibarıyla, 4.300’den fazla kurbandan oluşan tüm Adobe Commerce ve Magento Mağazalarının %5’inin CosmicSting kullanılarak istismar edildiğini gösterdi. CosmicSting’in yüksek profilli kurbanları arasında Cisco, National Geographic, Ray Ban, Segway ve Whirlpool yer alıyor.
Sansec’in tehdit araştırması kurucusu ve yöneticisi Willem de Groot, “Yama uygulayan siteler bile, gizli kripto anahtarlarını manuel olarak geçersiz kılmadıkları takdirde hâlâ savunmasız olabilir” dedi.
Sansec, 23 Haziran’dan bu yana en az yedi farklı grup veya suçlunun CosmicSting’i kullanarak 4.387 çevrimiçi satıcının Adobe Commerce ve Magento mağazasını toplu olarak hacklediğini söyledi. Şirket, güvenliği ihlal edilen satıcıları bilgilendirdi ve düzeltme talimatlarını paylaştı.
Adobe Commerce ve onun temel aldığı PHP kodlu Magento açık kaynaklı e-ticaret platformu (Adobe, Magento’yu 2018’de 1,7 milyar dolara satın aldı), toplu olarak işlenen 130.000’den fazla canlı örnekle çevrimiçi mağazaları çalıştırmak için en popüler yazılım türleri arasındadır. Yıllık işlem hacminin 155 milyar dolar olduğu tahmin ediliyor.
CosmicSting kullanan saldırganların otomatik, toplu saldırıları, Sansec’in saatte üç ila beş çevrimiçi mağazanın saldırıya uğradığını kaydetmesiyle 12 Temmuz’da başladı. De Groot, Information Security Media Group’a “Bu oran son yedi günde saatte bir ila ikiye düştü” dedi.
Sansec, “Her grup gizli Magento kriptografik anahtarlarını çalmak için CosmicSting saldırılarını kullanıyor” dedi. “Bu anahtar daha sonra bir API yetkilendirme jetonu oluşturmak için kullanılıyor ve saldırganın özel müşteri verilerine erişmesine ve ‘CMS blokları’ aracılığıyla ödeme skimmer’larını ödeme sürecine eklemesine olanak tanıyor.” Firma, çoğu Temmuz ayında olmak üzere anahtar diliminin çalındığı konusunda uyardı kitlesel saldırılar – kuruluşlar bunları zorla geçersiz kılana kadar kullanılmaya devam edilebilir.
Saldırganlar düzenli olarak, ödeme kartı verilerini ve diğer hassas müşteri bilgilerini sessizce çalmak için tasarlanmış, ödeme kartı verilerini veya dijital hesaplayıcıları olarak bilinen kötü amaçlı yazılımları yerleştirmelerine olanak tanıyan güvenlik açıklarını veya yanlış yapılandırmaları bularak e-ticaret yazılım platformlarını altüst etmeye çalışır.
Bazı kurbanlar birden çok kez saldırıya uğradı. Sansec, “Genellikle bir siteye ilk giren hacker, diğerlerini dışarıda tutmak için siteyi güvence altına alır” dedi. “CosmicSting güvenlik açığı bunu engelliyor ve birden fazla grubun aynı mağazanın kontrolü için kavga etmesine ve tekrar tekrar birbirlerini tahliye etmesine yol açıyor.”
CosmicSting’i otomatik araçlar kullanarak istismar eden en az yedi farklı gruptan Sansec’in “Ondatry” olarak takip ettiği bir grup, kötü amaçlı yazılımını yasal bir ticari yazılım parçası gibi gösterecek şekilde özelleştirme geçmişine sahip. Sansec, çoğu “birden fazla ülke mağazasına sahip daha büyük tüccarlar” olan 623 mağazanın hacklendiğini söyledi. “Çalınan veriler genellikle, verileri nihai hedefe yönlendiren, güvenliği ihlal edilmiş daha küçük mağazalara sızdırılıyor.”
Güvenlik araştırmacısı Sergey Temnikov, CosmicSting’i keşfetti ve 20 Aralık 2023’te hata ödül programı HackerOne’a sundu; bu program, 8 Ocak’ta Adobe’yi uyardı. Şirket, 21 Mayıs’ta Temnikov’a hata ödülü olarak 9.000 ABD doları ödül verdi.
11 Haziran’da Adobe, Adobe Commerce’in 2.4.7 ve önceki sürümleri, eski sürümün temelini oluşturan Magento Açık Kaynak ve Adobe Commerce Webhook Eklentisi dahil olmak üzere birden fazla sürümündeki kusuru düzelten bir güvenlik güncellemesi yayınladı. O dönemde Adobe, bu güvenlik açığının “Adobe Commerce tüccarlarını hedef alan sınırlı saldırılarda vahşi ortamda istismar edildiğini” söylemişti.
Adobe, kusurun CVSS puanının 10 üzerinden 9,8 olduğunu ve bunun onu “kritik” hale getirdiğini ve saldırganların bu güvenlik açığından yararlanmak için herhangi bir kimlik doğrulamaya veya yönetici düzeyinde ayrıcalıklara ihtiyaç duymadığını söyledi. ABD Ulusal Güvenlik Açığı Veritabanı, “Bir saldırgan, harici varlıklara referans veren hazırlanmış bir XML belgesi göndererek bu güvenlik açığından yararlanabilir” dedi. “Bu sorunun kullanılması kullanıcı etkileşimi gerektirmez.”
18 Haziran’da yamadan bir hafta sonra Sansec, güvenlik açığı bulunan Adobe Commerce mağazalarının yalnızca dörtte birinin henüz güvenlik düzeltmesini yüklediğini saydı. Firma ayrıca kullanıcıları, yükseltme sonrasında “şifre anahtarlarınızı döndürmeniz” konusunda uyardı; çünkü “eski anahtarla şifrelenen sırlar, yeni anahtarla otomatik olarak yeniden şifrelenmez”, bu da “çalınan şifreleme anahtarının hâlâ saldırganların web oluşturmasına izin verdiği anlamına gelir” yükseltmeden sonra bile belirteçler.”
Adobe, yazılımın yeni bir sürümüne hemen güncelleme yapamayan kullanıcılar için 27 Haziran’da geçici olarak yükleyebilecekleri bağımsız bir yama yayınladı. Adobe, 21 Ağustos’ta tüm eski şifreleme anahtarlarının devre dışı bırakılmasına yardımcı olacak bir düzeltme yayınladı; aksi durumda saldırganlar bu anahtarları kullanmaya devam edebilirdi.
De Groot, ne yazık ki bu sürecin – Adobe tarafından detaylandırılmış olsa da – “karmaşık ve hataya açık bir görev” olduğunu söyledi. “İnsanların bunu gerçekten yapıp yapmadığını bilmiyoruz, ancak birçok anahtarın çalındığından ve henüz geçersiz kılınmadığından şüpheleniyoruz.”