Los actores de amenazas aprovechan la vulnerabilidad de CosmicSting para piratear entre 3 y 5 sitios web por hora

En un hecho inquietante con respecto a la seguridad del comercio electrónico, los expertos en ciberseguridad dicen que los atacantes están explotando activamente la vulnerabilidad CosmicSting (CVE-2024-34102) para atacar de 3 a 5 sitios web por hora que revelaron que estaba infringiendo.

Esta falla de seguridad crítica afecta a las plataformas Adobe Commerce y Magento y se dice que es el peor error que ha afectado a estos sistemas en los últimos dos años.

A la vulnerabilidad CosmicSting se le ha asignado una puntuación de gravedad de 9,8 sobre 10 por parte del Sistema de puntuación de vulnerabilidad común (CVSS) y permite a un atacante explotar cualquier archivo en un servidor de destino, incluida información confidencial, como contraseñas y claves de cifrado, que se pueden leer. .

Este acceso podría permitir a atacantes malintencionados modificar bloques CMS e inyectar código JavaScript dañino a través de la API de Magento, lo que podría provocar el robo de datos de los clientes.

Los investigadores de seguridad de Sansec, una empresa especializada en seguridad del comercio electrónico, están siguiendo de cerca la situación. Informan que las tiendas que ejecutan versiones vulnerables de Adobe Commerce y Magento están siendo atacadas a un ritmo alarmante.

Analiza archivos sospechosos con ANY.RUN: Intergarte With You Security Team -> Pruébalo gratis

Vulnerabilidad de CosmicSting explotada en la naturaleza

Commerce y Magento 2.4.7 y anteriores, 2.4.6-p5 y anteriores, 2.4.5-p7 y anteriores, y 2.4.4-p8 y anteriores.

Una estrategia de ataque típica implica robar la clave de cifrado privada del archivo app/etc/env.php. Con esta clave, un atacante puede generar un token web JSON (JWT) que otorga acceso sin restricciones a la API de Magento.

Luego puede usarse para inyectar scripts maliciosos en bloques CMS y robar datos de clientes, incluida información de pago.

Lo que hace que esta vulnerabilidad sea particularmente peligrosa es que puede combinarse con otro fallo de seguridad (CVE-2024-2961). Esta combinación permite a un atacante ejecutar código directamente en un servidor comprometido, instalando potencialmente una puerta trasera para acceso persistente.

La cronología de los acontecimientos que rodean a Cosmic Sting es alarmante. Adobe lanzó originalmente una solución con una clasificación de gravedad baja el 11 de junio de 2024.

Sin embargo, la calificación de gravedad se incrementó gradualmente a medida que el impacto real de la vulnerabilidad se hizo más claro. El 8 de julio, la situación había alcanzado un estado crítico.

A pesar de estas advertencias, muchos sitios de comercio electrónico siguen sin parches y son vulnerables a la explotación. Los expertos en seguridad han identificado al menos ocho grupos diferentes que explotan activamente la vulnerabilidad CosmicSting.

Estos grupos emplean una variedad de tácticas, desde insertar formularios de pago personalizados hasta utilizar técnicas de ofuscación para ocultar código malicioso. Algunos atacantes se dirigen específicamente a tiendas conocidas, como las de marcas domésticas.

El rápido ritmo de estos ataques, con tres a cinco sitios web comprometidos por hora, pone de relieve la necesidad urgente de que las empresas afectadas tomen medidas inmediatas.

Los expertos recomiendan encarecidamente que todos los propietarios de tiendas Adobe Commerce y Magento actualicen sus instalaciones a la última versión (2.4.7-p2) lo antes posible.

Si no puede actualizar inmediatamente, es importante aplicar los parches individuales proporcionados por Adobe.

Además, es importante que las empresas asuman que las claves de cifrado antiguas pueden haberse visto comprometidas. Los expertos en seguridad recomiendan generar nuevas claves y deshabilitar las antiguas para evitar una mayor explotación.

A medida que la situación continúa evolucionando, las empresas de comercio electrónico deben permanecer alerta y priorizar las medidas de ciberseguridad.

Cómo elegir la solución SIEM gestionada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)