Adobe Commerce (anteriormente conocido como Magento) es una sólida plataforma de comercio electrónico propiedad de Adobe que proporciona soluciones flexibles y escalables para empresas B2B y B2C.
Ofrece funciones como “personalización avanzada”, “análisis integrado” y “alojamiento basado en la nube” utilizando “Adobe Commerce Cloud”.
Los analistas de investigación de Sansec descubrieron recientemente que los atacantes están explotando activamente la vulnerabilidad CosmicSting para piratear miles de Adobe Commerce (también conocidas como tiendas Magento).
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Los piratas informáticos aprovechan los defectos de CosmicSting
Una vulnerabilidad de seguridad crítica conocida como 'CosmicSting', rastreada como 'CVE-2024-34102', ha llevado a siete grupos de piratas informáticos diferentes a '4275 Adobe Commerce y Magento e-commerce' desde el 11 de junio de 2024. “.
Tienda Adobe Commerce y Magento (Fuente: Sansec)
La vulnerabilidad se centró específicamente en el sistema de claves criptográficas de la plataforma.
Esto les da a los atacantes acceso para generar “tokens de autenticación API no autorizados” e inyectar código malicioso, conocido como “skimmer de pagos”, en la página de pago de una tienda a través de un “bloque CMS”.
Aunque Adobe lanzó un parche de seguridad crítico el 8 de julio, “aproximadamente el 5% de todas las tiendas se vieron afectadas”.
Esto ocurrió porque la actualización no invalidó automáticamente las claves de cifrado existentes. Esto dejó a los comerciantes vulnerables a menos que la “llave antigua” se eliminara manualmente.
Los grupos de ataque se identifican de la siguiente manera: –
Bobry (usa codificación de espacios en blanco) Polyovki (usa cdnstatics.net) Surki (usa cifrado basado en 42) Burunduki (implementación del rastreador WebSocket) Ondatry (apunta al sistema de pago MultiSafePay)
Según Sansek, los operadores de estos grupos utilizan una variedad de técnicas sofisticadas, que incluyen “cargadores de malware”, “técnicas de ofuscación personalizadas” y “extracción de datos” a través de “tiendas proxy” comprometidas, supuestamente robaron información confidencial de pago de los clientes de los comerciantes afectados. .
La campaña de ciberataque CosmicSting de 2024 surgió como una amenaza importante dirigida a plataformas de comercio electrónico vulnerables mediante sofisticadas técnicas de explotación de “claves de cifrado”.
“Grupo Khomyaki” (aprovecha un punto final de carga de malware JSC de dos caracteres con un URI de dos caracteres), “Grupo Belki” (implementa la ejecución remota de código utilizando una combinación de exploits con CNEXT) y “Grupo Surki” (conocido por hojear) Varios atacantes (como las inyecciones de malware) están explotando activamente los sistemas sin parches.
Los métodos del atacante incluyen la extracción de claves de cifrado privadas mediante un “escaneo automatizado”, lo que les permite establecer puertas traseras en “archivos del sistema” y “procesos en segundo plano”.
Por otra parte, el malware CosmicSting se puede implementar para permitir el acceso no autorizado al servidor y la ejecución de código.
Mientras tanto, “aproximadamente el 75% de las instalaciones de Adobe Commerce y Magento” seguían sin parches en el momento en que comenzó el escaneo automático de claves de cifrado.
medidas de mitigación
Para mitigar estas amenazas, recomendamos encarecidamente que los comerciantes implementen tres medidas de seguridad importantes:
Actualice a la última versión de su plataforma de comercio electrónico. Rotar e invalidar claves de cifrado antiguas. Implemente una solución de monitoreo de vulnerabilidades y malware del lado del servidor.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
Hackers Exploit CosmicSting Flaw to Hack 1000+ Adobe Commerce & Magento Stores
