CosmicSting es una de las amenazas más graves para las tiendas Magento y Adobe Commerce en los últimos años. Hemos observado numerosos ataques a tiendas, con una frecuencia de 3-5 por hora. CosmicSting, identificado como CVE-2024-34102, permite a los atacantes acceder a archivos clave, incluidos datos cifrados y claves criptográficas.
Amenaza e impacto
Los hackers obtienen acceso a la clave criptográfica en el archivo app/etc/env.php, lo que les permite modificar bloques CMS a través de la API de Magento e inyectar JavaScript malicioso para robar datos de clientes. Además, utilizando otra vulnerabilidad (CVE-2024-2961), pueden ejecutar código en el servidor e instalar una puerta trasera, lo que permite un acceso a largo plazo al sistema.
Fases del ataque
El primer paso del ataque CosmicSting es obtener la clave de cifrado, lo que se consigue enviando solicitudes correctamente construidas a la API de Magento. A continuación, utilizando esta clave, los hackers crean un token JWT, que les da acceso sin restricciones a la API de Magento. Por último, modifican los bloques CMS existentes y les añaden scripts maliciosos.
¿Cómo protegerse?
1. Actualización del sistema - Actualizar Adobe Commerce a la versión más reciente es fundamental para evitar el robo de la clave criptográfica.
2. Cambio de clave - Incluso después de la actualización, se recomienda generar una nueva clave e invalidar la anterior. Adobe también proporciona parches especiales para quienes no pueden actualizar de inmediato.
Medidas temporales
Si no es posible actualizar, una alternativa es bloquear las solicitudes a /v1/cmsBlock. Esto puede limitar las actividades de los hackers, pero no ofrece una protección completa, ya que otros endpoints de la API pueden seguir estando expuestos.
También merece la pena implementar herramientas de monitorización que detecten JavaScript no autorizado, aumentando la seguridad de tu tienda Magento. También es posible ejecutar un módulo de Magento que limpie el código de los scripts antes de que se guarden los bloques CMS y antes de que se muestren en la página.
Resumen:
CosmicSting supone una amenaza grave que puede tener consecuencias desastrosas para las tiendas desprotegidas. Todos los usuarios de Magento y Adobe Commerce deben tomar medidas inmediatas para actualizar su sistema y proteger los datos de sus clientes.