CosmicSting este una dintre cele mai serioase amenințări la adresa magazinelor Magento și Adobe Commerce din ultimii ani. Am observat numeroase atacuri asupra magazinelor, cu o frecvență de 3-5 pe oră. CosmicSting, desemnată ca CVE-2024-34102, permite atacatorilor să acceseze fișiere esențiale, inclusiv date criptate și chei criptografice.
Amenințare și impact
Hackerii obțin acces la cheia criptografică din fișierul app/etc/env.php, ceea ce le permite să modifice blocurile CMS prin Magento API și să injecteze JavaScript malițios pentru a fura datele clienților. În plus, folosind o altă vulnerabilitate (CVE-2024-2961), aceștia pot rula cod pe server și pot instala un backdoor, permițând acces pe termen lung la sistem.
Etapele atacului
Primul pas al atacului CosmicSting este obținerea cheii de criptare, realizată prin trimiterea unor cereri construite corespunzător către Magento API. Apoi, folosind această cheie, hackerii creează un token JWT, care le oferă acces nelimitat la Magento API. În final, aceștia modifică blocurile CMS existente, adăugându-le scripturi malițioase.
Cum vă puteți proteja?
1. Actualizarea sistemului - Actualizarea Adobe Commerce la cea mai recentă versiune este crucială pentru a evita furtul cheii criptografice.
2. Schimbarea cheii - Chiar și după upgrade, se recomandă generarea unei chei noi și invalidarea celei vechi. Adobe oferă, de asemenea, patch-uri speciale pentru cei care nu pot face upgrade imediat.
Măsuri temporare
Dacă actualizarea nu este posibilă, o alternativă este blocarea cererilor către /v1/cmsBlock. Acest lucru poate limita activitatea hackerilor, dar nu oferă protecție completă, deoarece alte endpoint-uri API pot rămâne expuse.
Merită, de asemenea, să implementați instrumente de monitorizare care detectează JavaScript neautorizat, sporind securitatea magazinului dvs. Magento. De asemenea, este posibil să rulați un modul Magento care curăță codul scripturilor înainte ca blocurile CMS să fie scrise și înainte ca acestea să fie afișate pe pagină.
Rezumat:
CosmicSting reprezintă o amenințare serioasă, care poate avea consecințe dezastruoase pentru magazinele neprotejate. Toți utilizatorii Magento și Adobe Commerce ar trebui să ia măsuri imediate pentru a-și actualiza sistemul și pentru a proteja datele clienților.