CosmicSting to jedno z najpoważniejszych zagrożeń, jakie dotknęły sklepy Magento i Adobe Commerce w ostatnich latach. Obserwujemy liczne ataki na sklepy, występujące z częstotliwością 3-5 na godzinę. CosmicSting, oznaczony jako CVE-2024-34102, umożliwia atakującym dostęp do kluczowych plików, w tym zaszyfrowanych danych i kluczy kryptograficznych.
Zagrożenie i Wpływ
Hakerzy uzyskują dostęp do klucza kryptograficznego w pliku app/etc/env.php, co pozwala im na modyfikowanie bloków CMS przez API Magento i wstrzykiwanie złośliwego JavaScriptu, kradnącego dane klientów. Dodatkowo, z wykorzystaniem innej luki (CVE-2024-2961), mogą uruchamiać kod na serwerze i instalować tylne drzwi, co pozwala na długotrwały dostęp do systemu.
Etapy Ataku
Pierwszym krokiem ataku CosmicSting jest zdobycie klucza szyfrowania, co uzyskuje się poprzez wysłanie odpowiednio skonstruowanych żądań do API Magento. Kolejno, z użyciem tego klucza, hakerzy tworzą token JWT, dający im nieograniczony dostęp do API Magento. Na koniec modyfikują istniejące bloki CMS, dodając do nich złośliwe skrypty.
Jak Się Chronić?
1. Aktualizacja Systemu – Zaktualizowanie Adobe Commerce do najnowszej wersji jest kluczowe, aby uniknąć kradzieży klucza kryptograficznego.
2. Zmiana Klucza – Nawet po aktualizacji zaleca się wygenerowanie nowego klucza i unieważnienie starego. Adobe udostępnia również specjalne łaty dla tych, którzy nie mogą od razu zaktualizować oprogramowania.
Tymczasowe Środki Zaradcze
Jeśli aktualizacja nie jest możliwa, alternatywą jest blokowanie żądań do /v1/cmsBlock. Może to ograniczyć działania hakerów, ale nie zapewnia pełnej ochrony, ponieważ inne punkty końcowe API nadal mogą być narażone.
Warto także wdrożyć narzędzia monitorujące, które wykrywają nieautoryzowany JavaScript, zwiększając bezpieczeństwo sklepu Magento.Istnieje również możliwość wykonania modułu Magento który wyczyści kod script przed zapisem bloków CMS oraz przed ich wyświetleniem na stronie.
Podsumowanie:
CosmicSting stanowi poważne zagrożenie, które może mieć katastrofalne skutki dla niechronionych sklepów. Wszyscy użytkownicy Magento i Adobe Commerce powinni podjąć natychmiastowe kroki, aby zaktualizować system i chronić dane swoich klientów.