Over 4,000 Adobe Commerce, Magento shops hacked in CosmicSting attacks

Adobe CommerceとMagentoのオンラインストアが「CosmicSting」攻撃の標的になっており、脅威者は全ストアの約5%をハッキングしています。

CosmicStingの脆弱性(CVE-2024-34102)は、重大な情報漏えいの欠陥であり、glibcのiconv関数のセキュリティ問題であるCVE-2024-2961と連鎖すると、攻撃者はターゲットサーバー上でリモートコード実行を行うことができます。

この重大な欠陥は、以下の製品に影響します:

  • Adobe Commerce 2.4.7 およびそれ以前(2.4.6-p5、2.4.5-p7、2.4.4-p8 を含む)。
  • Adobe Commerce Extended Support 2.4.3-ext-7 およびそれ以前、2.4.2-ext-7 およびそれ以前、2.4.1-ext-7 およびそれ以前、2.4.0-ext-7 およびそれ以前、2.3.7-p4-ext-7 およびそれ以前。
  • Magento オープンソース 2.4.7 およびそれ以前(2.4.6-p5、2.4.5-p7、2.4.4-p8 を含む
  • Adobe Commerce Webhooks Plugin バージョン 1.2.0 ~ 1.4.0

ウェブサイトセキュリティ会社のSansecは、2024年6月以来攻撃を追跡しており、CosmicSting攻撃で侵入された4,275店舗を観測している。有名な被害者には、 先月報告したWhirlpool、Ray-Ban、National Geographic、Segway、Ciscoが含まれる。

Sansecは、パッチの適用速度が事態の重大性に見合っていないため、複数の脅威アクターが攻撃を実施していると述べています。

Sansecは、「Adobe CommerceとMagentoのインストールベースの75%は、秘密の暗号化キーの自動スキャンが開始されたときにパッチを適用していなかったので、Sansecは、今後数ヶ月でより多くの店舗がハッキングされると予測している」と警告している

ここ数年で最悪の攻撃の波

Sansecが予測していた通り、CosmicStingが技術的な詳細をほとんど明らかにせず、セキュリティアップデートを適用するよう緊急に通告したことで、Eコマースエコシステムにとって最悪の脅威の1つが発表された。

研究者は現在、CosmicStingを使用してパッチの適用されていないサイトを侵害する7つの異なる脅威グループを追跡しており、”Bobry”、”Polyovki”、”Surki”、”Burunduki”、”Ondatry”、”Khomyaki”、”Belki “と名付けられています。これらのグループは、クレジットカードや顧客情報を盗むためにサイトに侵入し、金銭的動機に基づく日和見主義者と考えられている。

Ondatryは、2022年に “TrojanOrder “欠陥を使用していましたが、現在はCosmicStingに移行しています。これは、一部の脅威行為者がいかにこの分野に特化し、容易に悪用可能な重要な脆弱性の機会を継続的に探しているかを示しています。

これらの脅威者は、CosmicSting を利用して Magento の暗号鍵を盗んだり、決済スキーマを注入して注文のチェックアウトウェブページからカードを盗んだり、さらには脆弱なストアの支配権を巡って互いに争ったりしています。

悪意のあるスクリプトは、有名なJavaScriptライブラリや分析パッケージのように見えるドメイン名から、侵害されたサイトに注入されます。例えば、Burundukiのハッカーは、jQueryに見せかけるために「jgueurystatic[.]xyz」というドメインを利用しています。

Polyovkiのハッカーは、「cdnstatics[.]net」というドメインを使用し、あたかもRay-Banのオンラインストアのスクリプトであるかのように見せかけます。

Ray-Banのウェブサイト上の悪意のあるコード
Source:Sansec

このスクリプトは、顧客のクレジットカード番号、名前、有効期限、セキュリティコード、顧客情報を盗み出そうとしています。

Portion from the deobfuscated data-theft script from the Ray-Ban site
Ray-Ban サイトの難読化解除されたデータ盗難スクリプトの一部
Source

Sansecは、Ray-Ban、Whirlpool、National Geographic、Segwayを含む多くのサイトに対し、これらの攻撃について複数回警告を行ったが、いずれのサイトからも返答はなかったと述べた。

Sansecの創設者であるWillem de Grootによると、SegwayとWhirlpoolは修正されているようであり、Ray-Banのサイトでは悪質なコードを発見できなかったことから、同様に修正されている可能性があるとのことである。

ウェブサイト管理者は、できるだけ早く以下のバージョン(またはそれ以降)に移行することを強くお勧めします:

  • Adobe Commerce 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9
  • Adobe Commerce 拡張サポート 2.4.3-ext-8、2.4.2-ext-8、2.4.1-ext-8、2.4.0-ext-8、2.3.7-p4-ext-8
  • Magento オープンソース 2.4.7-p1、2.4.6-p6、2.4.5-p8、2.4.4-p9
  • Adobe Commerce Webhooks プラグイン バージョン 1.5.0

Sansecは、自分のサイトに脆弱性があるかどうかをチェックするツールを提供しており、また、ほとんどのCosmicSting攻撃をブロックするための「緊急ホットフィックス」がリリースされている