Adobe Commerce- en Magento-winkels worden aangevallen door CosmicSting-exploit

Cybersecurity-onderzoekers hebben onthuld dat 5% van alle Adobe Commerce- en Magento-winkels zijn gehackt door kwaadwillende actoren door misbruik te maken van een beveiligingsprobleem genaamd CosmicSting.

Bijgehouden als CVE-2024-34102 (CVSS-score: 9,8) heeft de kritieke fout betrekking op een onjuiste beperking van de XML External Entity Reference (XXE)-kwetsbaarheid die zou kunnen leiden tot uitvoering van externe code. De tekortkoming, toegeschreven aan een onderzoeker genaamd “spacewasp”, werd in juni 2024 door Adobe verholpen.

Het Nederlandse beveiligingsbedrijf Sansec, dat CosmicSting heeft omschreven als de “ergste bug die Magento- en Adobe Commerce-winkels in twee jaar heeft getroffen”, zei dat de e-commercesites met een snelheid van drie tot vijf per uur worden gecompromitteerd.

Het lek wordt sindsdien op grote schaal uitgebuit, wat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe heeft aangezet het medio juli 2024 toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus.

Bij sommige van deze aanvallen wordt de fout gebruikt om de geheime coderingssleutel van Magento te stelen, die vervolgens wordt gebruikt om JSON Web Tokens (JWT’s) te genereren met volledige administratieve API-toegang. Vervolgens is waargenomen dat de bedreigingsactoren misbruik maakten van de Magento REST API om kwaadaardige scripts te injecteren.

Adobe Commerce- en Magento-winkels

Dit betekent ook dat het toepassen van de nieuwste oplossing alleen onvoldoende is om je tegen de aanval te beschermen, waardoor site-eigenaren stappen moeten ondernemen om de coderingssleutels te roteren.

Daaropvolgende aanvallen die in augustus 2024 werden waargenomen, hebben CosmicSting gekoppeld aan CNEXT (CVE-2024-2961), een kwetsbaarheid in de iconv-bibliotheek binnen de GNU C-bibliotheek (ook bekend als glibc), om uitvoering van code op afstand mogelijk te maken.

“CosmicSting (CVE-2024-34102) maakt het willekeurig lezen van bestanden op niet-gepatchte systemen mogelijk. In combinatie met CNEXT (CVE-2024-2961) kunnen bedreigingsactoren escaleren tot het uitvoeren van code op afstand, waarbij ze het hele systeem overnemen”, aldus Sansec.

Het uiteindelijke doel van de compromissen is om persistente, geheime toegang tot de host via GSocket tot stand te brengen en frauduleuze scripts in te voegen die de uitvoering van willekeurig JavaScript mogelijk maken dat van de aanvaller wordt ontvangen om betalingsgegevens te stelen die door gebruikers op de sites zijn ingevoerd.

Uit de laatste bevindingen blijkt dat verschillende bedrijven, waaronder Ray Ban, National Geographic, Cisco, Whirlpool en Segway, het slachtoffer zijn geworden van CosmicSting-aanvallen, waarbij ten minste zeven verschillende groepen deelnemen aan de uitbuitingspogingen:

  • Groep Bobrydat gebruik maakt van witruimtecodering om code te verbergen die een betalingsskimmer uitvoert die op een externe server wordt gehost
  • Groep Polyovkidat een injectie van cdnstatics.net/lib.js gebruikt
  • Groep Surkidat XOR-codering gebruikt om JavaScript-code te verbergen
  • Groep Burundukidie toegang heeft tot een dynamische skimmercode vanuit een WebSocket op wss://jgueurystatic(.)xyz:8101
  • Groep Ondatrydat aangepaste JavaScript-loader-malware gebruikt om valse betalingsformulieren te injecteren die de legitieme formulieren nabootsen die door de sites van verkopers worden gebruikt
  • Groep Khomyakiwaarmee betalingsinformatie wordt geëxfiltreerd naar domeinen die een URI van twee tekens bevatten (“rextension(.)net/za/”)
  • Groep Belkidat CosmicSting met CNEXT gebruikt om backdoors en skimmer-malware te installeren

“Handelaars wordt sterk aangeraden om te upgraden naar de nieuwste versie van Magento of Adobe Commerce”, aldus Sansec. “Ze moeten ook geheime encryptiesleutels rouleren en ervoor zorgen dat oude sleutels ongeldig worden gemaakt.”

Thijs Van der Does