Интернет-магазины на базе Adobe Commerce и Magento подвергаются хакерским атакам из-за проблемы в CosmicSting. Исследователи отмечают, что хакеры уже взломали около 5% от общего числа магазинов.
Уязвимость в CosmicSting (CVE-2024-34102) представляет собой проблему раскрытия информации, но в случае объединения с CVE-2024-2961, то есть с уязвимостью в функции glibc iconv, злоумышленник может добиться удаленного выполнения произвольного кода на целевом сервере.
Этот критический баг затрагивает следующие продукты:<ul><li>Adobe Commerce 2.4.7 и более ранние версии (включая 2.4.6-p5, 2.4.5-p7, 2.4.4-p8);</li>
</ul><ul><li>Adobe Commerce Extended Support 2.4.3-ext-7 и более ранние версии, 2.4.2-ext-7 и более ранние версии, 2.4.1-ext-7 и более ранние версии, 2.4.0-ext-7 и более ранние версии, 2.3.7-p4-ext-7 и более ранние версии;</li>
</ul><ul><li>Magento Open Source 2.4.7 и более ранние версии (включая 2.4.6-p5, 2.4.5-p7, 2.4.4-p8);</li>
</ul><ul><li>Плагин Adobe Commerce Webhooks Plugin версий от 1.2.0 до 1.4.0.</li>
</ul>Специалисты компании Sansec отслеживают атаки на CVE-2024-34102 с июня 2024 года. Они обнаружили, что уже взломаны 4275 сайтов, а среди жертв числятся такие крупные компании, как Whirlpool, Ray-Ban, National Geographic, Segway и Cisco. О последней атаке мы уже рассказывали в прошлом месяце.
Sansec утверждает, что в настоящее время атаки осуществляют сразу несколько хак-групп, поскольку скорость установки патчей, к сожалению, не соответствует критическому характеру уязвимости.
«По прогнозам Sansec, в ближайшие месяцы будет взломано еще больше магазинов, поскольку 75% установок Adobe Commerce и Magento не получили исправлений к моменту начала автоматического сканирования на предмет секретных ключей шифрования», — предупредили исследователи.
В настоящее время исследователи отслеживают семь различных групп, эксплуатирующих CosmicSting для компрометации непропатченных сайтов. Группировки получили кодовые имена «Бобры» (Bobry), «Полевки» (Polyovki), «Сурки» (Surki), «Бурундуки» (Burunduki), «Ондатры» (Ondatry), «Хомяки» (Khomyaki) и «Белки» (Belki). Эксперты считают, что все они — финансово мотивированные оппортунисты, взламывающие сайты с целью кражи данных банковских карт и пользователей.
Отмечается, что еще в 2022 году группировка «Ондатры» использовала уязвимость TrojanOrder, но теперь переключилась на CosmicSting, то есть некоторые хакеры специализируются на таких атаках и постоянно ищут новые легко эксплуатируемые баги.
Злоумышленники используют проблему в CosmicSting для кражи криптографических ключей Magento, внедрения веб-скиммеров и кражи данных карт пользователей. Также группировки конкурируют друг с другом за контроль над уязвимыми магазинами.
Вредоносные скрипты внедряются на скомпрометированные сайты с доменов, которые названы так, чтобы казаться известными библиотеками JavaScript или аналитическими пакетами. Например, «Бурундуки» используют домен jgueurystatic[.]xyz, чтобы маскироваться под jQuery. А у «Полевок» есть домен cdnstatics[.]net, который создает впечатление, что скрипты предназначены для аналитики, как это было при взломе интернет-магазина Ray-Ban.
https://xakep.ru/wp-content/uploads/...423/rayban.jpg
Аналитики Sansec отмечают, что неоднократно предупреждали операторов многих уязвимых сайтов о проблеме (в том числе Ray-Ban, Whirlpool, National Geographic и Segway), однако так и не получили никаких ответов от компаний.
https://xakep.ru/2024/10/04/cosmicsting-attacks/