02 de octubre de 2024Ravie LakshmananVulnerabilidad/violación de datos Los investigadores de ciberseguridad han revelado que el 5% de todas las tiendas de Adobe Commerce y Magento han sido pirateadas por actores maliciosos al explotar una vulnerabilidad de seguridad denominada CosmicSting. Registrada como CVE-2024-34102 (puntuación CVSS: 9,8), la falla crítica se relaciona con una restricción inadecuada de la vulnerabilidad de referencia de entidad externa XML (XXE) que podría resultar en la ejecución remota de código. La deficiencia, atribuida a un investigador llamado «spacewasp», fue reparada por Adobe en junio de 2024. La empresa de seguridad holandesa Sansec, que describió CosmicSting como el «peor error que ha afectado a las tiendas Magento y Adobe Commerce en dos años», dijo el e- Los sitios comerciales se ven comprometidos a un ritmo de tres a cinco por hora. Desde entonces, la falla ha sido objeto de una explotación generalizada, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarla al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) a mediados de julio de 2024. Algunos de estos ataques implican convertir la falla en un arma para robar el secreto de Magento. clave de cifrado, que luego se utiliza para generar tokens web JSON (JWT) con acceso completo a la API administrativa. Luego se ha observado que los actores de amenazas aprovechan la API REST de Magento para inyectar scripts maliciosos. Esto también significa que aplicar la última solución por sí sola no es suficiente para protegerse contra el ataque, lo que requiere que los propietarios del sitio tomen medidas para rotar las claves de cifrado. Los ataques posteriores observados en agosto de 2024 han encadenado CosmicSting con CNEXT (CVE-2024-2961), una vulnerabilidad en la biblioteca iconv dentro de la biblioteca GNU C (también conocida como glibc), para lograr la ejecución remota de código. «CosmicSting (CVE-2024-34102) permite la lectura arbitraria de archivos en sistemas sin parches. Cuando se combina con CNEXT (CVE-2024-2961), los actores de amenazas pueden escalar a la ejecución remota de código, apoderándose de todo el sistema», señaló Sansec. El objetivo final de los compromisos es establecer un acceso persistente y encubierto al host a través de GSocket e insertar scripts maliciosos que permitan la ejecución de JavaScript arbitrario recibido del atacante para robar datos de pago ingresados ​​por los usuarios en los sitios. Los últimos hallazgos muestran que varias empresas, incluidas Ray Ban, National Geographic, Cisco, Whirlpool y Segway, han sido víctimas de ataques CosmicSting, y al menos siete grupos distintos participan en los esfuerzos de explotación: Group Bobry, que utiliza codificación de espacios en blanco para ocultar código que ejecuta un skimmer de pago alojado en un servidor remoto Grupo Polyovki, que utiliza una inyección de cdnstatics.net/lib.js Grupo Surki, que utiliza codificación XOR para ocultar código JavaScript Grupo Burunduki, que accede a un código de skimmer dinámico desde un WebSocket en wss://jgueurystatic[.]xyz:8101 Group Ondatry, que utiliza malware de carga de JavaScript personalizado para inyectar formularios de pago falsos que imitan los legítimos utilizados por los sitios comerciales Group Khomyaki, que filtra información de pago a dominios que incluyen un URI de 2 caracteres («rextension[.]net/za/») Group Belki, que utiliza CosmicSting con CNEXT para instalar puertas traseras y malware skimmer. «Se recomienda encarecidamente a los comerciantes que actualicen a la última versión de Magento o Adobe Commerce», dijo Sansec. «También deben rotar las claves de cifrado secretas, y asegúrese de que las claves antiguas estén invalidadas». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.