Magento

Adobe Commerce と Magento のウェブサイトに影響を及ぼす「CosmicSting」と呼ばれる脆弱性は、セキュリティアップデートが提供されてから 9 日が経過した現在もほとんどパッチが適用されておらず、数百万ものサイトが壊滅的な攻撃を受ける可能性があります。

Sansecの統計によると、影響を受けたeコマースプラットフォームを使用している4つのウェブサイトのうち、およそ3つがCosmicStingに対するパッチを適用しておらず、XML外部エンティティインジェクション(XXE)やリモートコード実行(RCE)の危険にさらされています。

「CosmicSting(別名CVE-2024-34102)は、この2年間でMagentoとAdobe Commerceのストアを襲った最悪のバグです

「それ自体では、誰でも(パスワードなどの)プライベートファイルを読むことができます。しかし、最近のLinuxのiconvバグと組み合わせると、リモートコード実行というセキュリティの悪夢に変わります。

致命的(CVSSスコア:9.8)と評価されたこの欠陥は、以下の製品バージョンに影響します:

  • Adobe Commerce 2.4.7以前(2.4.6-p5、2.4.5-p7、2.4.4-p8を含む)。
  • Adobe Commerce Extended Support 2.4.3-ext-7 およびそれ以前、2.4.2-ext-7 およびそれ以前、2.4.1-ext-7 およびそれ以前、2.4.0-ext-7 およびそれ以前、2.3.7-p4-ext-7 およびそれ以前。
  • Magento オープンソース 2.4.7 およびそれ以前(2.4.6-p5、2.4.5-p7、2.4.4-p8 を含む
  • Adobe Commerce Webhooks Pluginバージョン1.2.0から1.4.0まで

Sansecによると、Adobeは積極的な悪用を避けるため、技術的な詳細情報を公表していないが、効果的な攻撃手法はパッチコードから容易に推測できるという。

Sansecによれば、CosmicStingは、その深刻さと、効果的な攻撃経路を推測するための複雑性の低さから、”Shoplift“、“Ambionics“、”Trojan Order“と並んで、eコマースの歴史において最も被害が大きい攻撃の1つになると推定しています。

今すぐ修正または緩和策を適用

ベンダーは、CVE-2024-34102に対する修正プログラムを以下のバージョンでリリースしており、Eコマースプラットフォームの管理者は、できるだけ早く適用することが推奨される:

  • Adobe Commerce 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9
  • Adobe Commerce Extended Support 2.4.3-ext-8、2.4.2-ext-8、2.4.1-ext-8、2.4.0-ext-8、2.3.7-p4-ext-8
  • Magento オープンソース 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9
  • Adobe Commerce Webhooks プラグイン バージョン 1.5.0

Sansecでは、チェックアウト機能を破壊する可能性のある問題を回避するため、サイト管理者はアップグレード前に「Report-Only」モードに切り替えることを推奨しています。

今すぐアップグレードできない方は、以下の2つの対策を取ることをお勧めします:

まず、お使いの Linux システムが CVE-2024-2961 に対して脆弱な glibc ライブラリを使用しているかどうかを以下のコマンドで確認し、必要に応じてアップグレードしてください。以下のコマンドは、Cのソースコード・ファイルをダウンロードし、コンパイルして、お使いのコンピュータ上で実行し、脆弱性があるかどうかを検出します。

curl -sO https://sansec.io/downloads/cve-2024-2961.c && gcc cve-2024-2961.c -o poc && ./poc

次に、ほとんどのCosmicSting攻撃をブロックするために、’app/bootstrap.php’に以下の「緊急修正」コードを追加する必要がある。

if (strpos(file_get_contents('php://input'), 'dataIsURL') !== false) { header('HTTP/1.1 503 Service Temporarily Unavailable'); header('Status: 503 Service Temporarily Unavailable'); exit; }.

はこの修正についてテストしておらず、その有効性や安全性を保証するものではありません。