CosmicSting é uma das ameaças mais graves para lojas Magento e Adobe Commerce dos últimos anos. Observámos numerosos ataques a lojas, com uma frequência de 3 a 5 por hora. CosmicSting, identificada como CVE-2024-34102, permite que os atacantes acedam a ficheiros essenciais, incluindo dados encriptados e chaves criptográficas.
Ameaça e impacto
Os hackers obtêm acesso à chave criptográfica no ficheiro app/etc/env.php, o que lhes permite modificar blocos CMS através da API do Magento e injetar JavaScript malicioso para roubar dados dos clientes. Além disso, utilizando outra vulnerabilidade (CVE-2024-2961), podem executar código no servidor e instalar uma backdoor, permitindo acesso prolongado ao sistema.
Fases do ataque
O primeiro passo do ataque CosmicSting é obter a chave de encriptação, o que é conseguido através do envio de pedidos devidamente construídos para a API do Magento. Em seguida, usando esta chave, os hackers criam um token JWT, que lhes dá acesso sem restrições à API do Magento. Por fim, modificam os blocos CMS existentes, adicionando-lhes scripts maliciosos.
Como se proteger?
1. Atualização do sistema - Atualizar o Adobe Commerce para a versão mais recente é crucial para evitar o roubo da chave criptográfica.
2. Alteração da chave - Mesmo após a atualização, recomenda-se gerar uma nova chave e invalidar a antiga. A Adobe também disponibiliza patches especiais para quem não pode atualizar imediatamente.
Medidas temporárias
Se a atualização não for possível, uma alternativa é bloquear pedidos para /v1/cmsBlock. Isto pode limitar as ações dos hackers, mas não oferece proteção total, uma vez que outros endpoints da API podem continuar expostos.
Também vale a pena implementar ferramentas de monitorização que detetem JavaScript não autorizado, aumentando a segurança da sua loja Magento. Também é possível executar um módulo Magento que limpa o código de scripts antes de os blocos CMS serem gravados e antes de serem apresentados na página.
Resumo:
CosmicSting representa uma ameaça grave que pode ter consequências desastrosas para lojas desprotegidas. Todos os utilizadores de Magento e Adobe Commerce devem tomar medidas imediatas para atualizar o seu sistema e proteger os dados dos seus clientes.