Новости Более 4000 сайтов Adobe Commerce и Magento взломаны через уязвимость CosmicSting

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.285
Репутация
11.800
Реакции
61.991
RUB
50
Интернет-магазины на базе Adobe Commerce и Magento подвергаются хакерским атакам из-за проблемы в CosmicSting. Исследователи отмечают, что хакеры уже взломали около 5% от общего числа магазинов.

Уязвимость в ( ) представляет собой проблему раскрытия информации, но в случае объединения с CVE-2024-2961, то есть с уязвимостью в функции glibc iconv, злоумышленник может добиться удаленного выполнения произвольного кода на целевом сервере.

i


Этот критический баг затрагивает следующие продукты:
  • Adobe Commerce 2.4.7 и более ранние версии (включая 2.4.6-p5, 2.4.5-p7, 2.4.4-p8);
  • Adobe Commerce Extended Support 2.4.3-ext-7 и более ранние версии, 2.4.2-ext-7 и более ранние версии, 2.4.1-ext-7 и более ранние версии, 2.4.0-ext-7 и более ранние версии, 2.3.7-p4-ext-7 и более ранние версии;
  • Magento Open Source 2.4.7 и более ранние версии (включая 2.4.6-p5, 2.4.5-p7, 2.4.4-p8);
  • Плагин Adobe Commerce Webhooks Plugin версий от 1.2.0 до 1.4.0.
Специалисты компании отслеживают атаки на CVE-2024-34102 с июня 2024 года. Они обнаружили, что уже взломаны 4275 сайтов, а среди жертв числятся такие крупные компании, как Whirlpool, Ray-Ban, National Geographic, Segway и Cisco. О последней атаке мы уже в прошлом месяце.

Sansec утверждает, что в настоящее время атаки осуществляют сразу несколько хак-групп, поскольку скорость установки патчей, к сожалению, не соответствует критическому характеру уязвимости.

«По прогнозам Sansec, в ближайшие месяцы будет взломано еще больше магазинов, поскольку 75% установок Adobe Commerce и Magento не получили исправлений к моменту начала автоматического сканирования на предмет секретных ключей шифрования», — предупредили исследователи.

В настоящее время исследователи отслеживают семь различных групп, эксплуатирующих CosmicSting для компрометации непропатченных сайтов. Группировки получили кодовые имена «Бобры» (Bobry), «Полевки» (Polyovki), «Сурки» (Surki), «Бурундуки» (Burunduki), «Ондатры» (Ondatry), «Хомяки» (Khomyaki) и «Белки» (Belki). Эксперты считают, что все они — финансово мотивированные оппортунисты, взламывающие сайты с целью кражи данных банковских карт и пользователей.

Отмечается, что еще в 2022 году группировка «Ондатры» TrojanOrder, но теперь переключилась на CosmicSting, то есть некоторые хакеры специализируются на таких атаках и постоянно ищут новые легко эксплуатируемые баги.

Злоумышленники используют проблему в CosmicSting для кражи криптографических ключей Magento, внедрения веб-скиммеров и кражи данных карт пользователей. Также группировки конкурируют друг с другом за контроль над уязвимыми магазинами.

Вредоносные скрипты внедряются на скомпрометированные сайты с доменов, которые названы так, чтобы казаться известными библиотеками JavaScript или аналитическими пакетами. Например, «Бурундуки» используют домен jgueurystatic[.]xyz, чтобы маскироваться под jQuery. А у «Полевок» есть домен cdnstatics[.]net, который создает впечатление, что скрипты предназначены для аналитики, как это было при взломе интернет-магазина Ray-Ban.



Аналитики Sansec отмечают, что неоднократно предупреждали операторов многих уязвимых сайтов о проблеме (в том числе Ray-Ban, Whirlpool, National Geographic и Segway), однако так и не получили никаких ответов от компаний.


 
Сверху Снизу