Интернет-магазины на базе Adobe Commerce и Magento подвергаются хакерским атакам из-за проблемы в CosmicSting. Исследователи отмечают, что хакеры уже взломали около 5% от общего числа магазинов.

Уязвимость в CosmicSting (CVE-2024-34102) представляет собой проблему раскрытия информации, но в случае объединения с CVE-2024-2961, то есть с уязвимостью в функции glibc iconv, злоумышленник может добиться удаленного выполнения произвольного кода на целевом сервере.

Этот критический баг затрагивает следующие продукты:

• Adobe Commerce 2.4.7 и более ранние версии (включая 2.4.6-p5, 2.4.5-p7, 2.4.4-p8);


• Adobe Commerce Extended Support 2.4.3-ext-7 и более ранние версии, 2.4.2-ext-7 и более ранние версии, 2.4.1-ext-7 и более ранние версии, 2.4.0-ext-7 и более ранние версии, 2.3.7-p4-ext-7 и более ранние версии;


• Magento Open Source 2.4.7 и более ранние версии (включая 2.4.6-p5, 2.4.5-p7, 2.4.4-p8);


• Плагин Adobe Commerce Webhooks Plugin версий от 1.2.0 до 1.4.0.

Специалисты компании Sansec отслеживают атаки на CVE-2024-34102 с июня 2024 года. Они обнаружили, что уже взломаны 4275 сайтов, а среди жертв числятся такие крупные компании, как Whirlpool, Ray-Ban, National Geographic, Segway и Cisco. О последней атаке мы уже рассказывали в прошлом месяце.

Sansec утверждает, что в настоящее время атаки осуществляют сразу несколько хак-групп, поскольку скорость установки патчей, к сожалению, не соответствует критическому характеру уязвимости.

В настоящее время исследователи отслеживают семь различных групп, эксплуатирующих CosmicSting для компрометации непропатченных сайтов. Группировки получили кодовые имена «Бобры» (Bobry), «Полевки» (Polyovki), «Сурки» (Surki), «Бурундуки» (Burunduki), «Ондатры» (Ondatry), «Хомяки» (Khomyaki) и «Белки» (Belki). Эксперты считают, что все они —  финансово мотивированные оппортунисты, взламывающие сайты с целью кражи данных банковских карт и пользователей.

Отмечается, что еще в 2022 году группировка «Ондатры» использовала уязвимость TrojanOrder, но теперь переключилась на CosmicSting, то есть некоторые хакеры специализируются на таких атаках и постоянно ищут новые легко эксплуатируемые баги.

Злоумышленники используют проблему в CosmicSting для кражи криптографических ключей Magento, внедрения веб-скиммеров и кражи данных карт пользователей. Также группировки конкурируют друг с другом за контроль над уязвимыми магазинами.

Вредоносные скрипты внедряются на скомпрометированные сайты с доменов, которые названы так, чтобы казаться известными библиотеками jаvascript или аналитическими пакетами. Например, «Бурундуки» используют домен jgueurystatic[.]xyz, чтобы маскироваться под jQuery. А у «Полевок» есть домен cdnstatics[.]net, который создает впечатление, что скрипты предназначены для аналитики, как это было при взломе интернет-магазина Ray-Ban.

Аналитики Sansec отмечают, что неоднократно предупреждали операторов многих уязвимых сайтов о проблеме (в том числе Ray-Ban, Whirlpool, National Geographic и Segway), однако так и не получили никаких ответов от компаний.

Теги: Новости, Adobe Commerce, CosmicSting