VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã tiết lộ rằng 5% trong số tất cả các cửa hàng Adobe Commerce và Magento đã bị tin tặc tấn công bằng cách khai thác lỗ hổng bảo mật có tên CosmicSting.

Được theo dõi là CVE-2024-34102 (điểm CVSS: 9,8), lỗi nghiêm trọng liên quan đến việc hạn chế không đúng cách đối với lỗ hổng tham chiếu thực thể bên ngoài XML (XXE) có thể dẫn đến thực thi mã từ xa. Thiếu sót này, được ghi nhận là của một nhà nghiên cứu có tên " spacewasp ", đã được Adobe vá vào tháng 6 năm 2024.

Công ty bảo mật Sansec của Hà Lan, mô tả CosmicSting là "lỗi tồi tệ nhất tấn công các cửa hàng Magento và Adobe Commerce trong hai năm", cho biết các trang thương mại điện tử này đang bị xâm phạm với tốc độ từ ba đến năm lần mỗi giờ.

Từ đó, lỗ hổng này đã bị khai thác rộng rãi, khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) phải thêm nó vào danh mục Lỗ hổng đã khai thác đã biết (KEV) vào giữa tháng 7 năm 2024.

Một số cuộc tấn công này bao gồm việc sử dụng lỗ hổng để đánh cắp khóa mã hóa bí mật của Magento, sau đó được sử dụng để tạo JSON Web Token (JWT) với quyền truy cập API quản trị đầy đủ. Sau đó, các tác nhân đe dọa đã được quan sát thấy đang lợi dụng Magento REST API để đưa các tập lệnh độc hại vào.


Điều này cũng có nghĩa là việc chỉ áp dụng bản sửa lỗi mới nhất là không đủ để bảo vệ trước cuộc tấn công, đòi hỏi chủ sở hữu trang web phải thực hiện các bước để thay đổi khóa mã hóa.

Các cuộc tấn công tiếp theo được quan sát vào tháng 8 năm 2024 đã liên kết CosmicSting với CNEXT (CVE-2024-2961), một lỗ hổng trong thư viện iconv trong thư viện GNU C (hay còn gọi là glibc), để thực thi mã từ xa.

"CosmicSting (CVE-2024-34102) cho phép đọc tệp tùy ý trên các hệ thống chưa vá. Khi kết hợp với CNEXT (CVE-2024-2961), kẻ tấn công có thể leo thang đến mức thực thi mã từ xa, chiếm quyền kiểm soát toàn bộ hệ thống", Sansec lưu ý.

Mục tiêu cuối cùng của việc xâm nhập là thiết lập quyền truy cập liên tục, bí mật vào máy chủ thông qua GSocket và chèn các tập lệnh độc hại cho phép thực thi JavaScript tùy ý nhận được từ kẻ tấn công nhằm đánh cắp dữ liệu thanh toán do người dùng nhập trên các trang web.

Những phát hiện mới nhất cho thấy một số công ty, bao gồm Ray Ban, National Geographic, Cisco, Whirlpool và Segway, đã trở thành nạn nhân của các cuộc tấn công CosmicSting, với ít nhất bảy nhóm riêng biệt tham gia vào các nỗ lực khai thác -

• Nhóm Bobry, sử dụng mã hóa khoảng trắng để ẩn mã thực thi chương trình thu thập thông tin thanh toán được lưu trữ trên máy chủ từ xa
• Nhóm Polyovki, sử dụng lệnh inject từ   Đăng nhập để xem liên kết
• Nhóm Surki, sử dụng mã hóa XOR để che giấu mã JavaScript
• Nhóm Burunduki, truy cập mã skimmer động từ WebSocket tại wss://jgueurystatic[.]xyz:8101
• Nhóm Ondatry, sử dụng phần mềm độc hại tải JavaScript tùy chỉnh để đưa vào các biểu mẫu thanh toán giả mạo bắt chước các biểu mẫu hợp pháp được các trang web của thương gia sử dụng
• Nhóm Khomyaki, chuyên rò rỉ thông tin thanh toán vào các miền có chứa URI 2 ký tự ("rextension[.]net/za/")
• Nhóm Belki, sử dụng CosmicSting với CNEXT để cài backdoor và skimmer phần mềm độc hại

"Các thương gia được khuyến cáo mạnh mẽ nên nâng cấp lên phiên bản mới nhất của Magento hoặc Adobe Commerce", Sansec cho biết. "Họ cũng nên luân phiên các khóa mã hóa bí mật và đảm bảo rằng các khóa cũ không còn hiệu lực".