Интернет-магазины на базе Adobe Commerce и Magento подвергаются хакерским атакам из-за проблемы в CosmicSting. Исследователи отмечают, что хакеры уже взломали около 5% от общего числа магазинов.
Уязвимость в ( ) представляет собой проблему раскрытия информации, но в случае объединения с CVE-2024-2961, то есть с уязвимостью в функции glibc iconv, злоумышленник может добиться удаленного выполнения произвольного кода на целевом сервере.
Этот критический баг затрагивает следующие продукты:
Sansec утверждает, что в настоящее время атаки осуществляют сразу несколько хак-групп, поскольку скорость установки патчей, к сожалению, не соответствует критическому характеру уязвимости.
В настоящее время исследователи отслеживают семь различных групп, эксплуатирующих CosmicSting для компрометации непропатченных сайтов. Группировки получили кодовые имена «Бобры» (Bobry), «Полевки» (Polyovki), «Сурки» (Surki), «Бурундуки» (Burunduki), «Ондатры» (Ondatry), «Хомяки» (Khomyaki) и «Белки» (Belki). Эксперты считают, что все они — финансово мотивированные оппортунисты, взламывающие сайты с целью кражи данных банковских карт и пользователей.
Отмечается, что еще в 2022 году группировка «Ондатры» TrojanOrder, но теперь переключилась на CosmicSting, то есть некоторые хакеры специализируются на таких атаках и постоянно ищут новые легко эксплуатируемые баги.
Злоумышленники используют проблему в CosmicSting для кражи криптографических ключей Magento, внедрения веб-скиммеров и кражи данных карт пользователей. Также группировки конкурируют друг с другом за контроль над уязвимыми магазинами.
Вредоносные скрипты внедряются на скомпрометированные сайты с доменов, которые названы так, чтобы казаться известными библиотеками JavaScript или аналитическими пакетами. Например, «Бурундуки» используют домен jgueurystatic[.]xyz, чтобы маскироваться под jQuery. А у «Полевок» есть домен cdnstatics[.]net, который создает впечатление, что скрипты предназначены для аналитики, как это было при взломе интернет-магазина Ray-Ban.
Аналитики Sansec отмечают, что неоднократно предупреждали операторов многих уязвимых сайтов о проблеме (в том числе Ray-Ban, Whirlpool, National Geographic и Segway), однако так и не получили никаких ответов от компаний.
Уязвимость в ( ) представляет собой проблему раскрытия информации, но в случае объединения с CVE-2024-2961, то есть с уязвимостью в функции glibc iconv, злоумышленник может добиться удаленного выполнения произвольного кода на целевом сервере.
Этот критический баг затрагивает следующие продукты:
- Adobe Commerce 2.4.7 и более ранние версии (включая 2.4.6-p5, 2.4.5-p7, 2.4.4-p8);
- Adobe Commerce Extended Support 2.4.3-ext-7 и более ранние версии, 2.4.2-ext-7 и более ранние версии, 2.4.1-ext-7 и более ранние версии, 2.4.0-ext-7 и более ранние версии, 2.3.7-p4-ext-7 и более ранние версии;
- Magento Open Source 2.4.7 и более ранние версии (включая 2.4.6-p5, 2.4.5-p7, 2.4.4-p8);
- Плагин Adobe Commerce Webhooks Plugin версий от 1.2.0 до 1.4.0.
Sansec утверждает, что в настоящее время атаки осуществляют сразу несколько хак-групп, поскольку скорость установки патчей, к сожалению, не соответствует критическому характеру уязвимости.
В настоящее время исследователи отслеживают семь различных групп, эксплуатирующих CosmicSting для компрометации непропатченных сайтов. Группировки получили кодовые имена «Бобры» (Bobry), «Полевки» (Polyovki), «Сурки» (Surki), «Бурундуки» (Burunduki), «Ондатры» (Ondatry), «Хомяки» (Khomyaki) и «Белки» (Belki). Эксперты считают, что все они — финансово мотивированные оппортунисты, взламывающие сайты с целью кражи данных банковских карт и пользователей.
Отмечается, что еще в 2022 году группировка «Ондатры» TrojanOrder, но теперь переключилась на CosmicSting, то есть некоторые хакеры специализируются на таких атаках и постоянно ищут новые легко эксплуатируемые баги.
Злоумышленники используют проблему в CosmicSting для кражи криптографических ключей Magento, внедрения веб-скиммеров и кражи данных карт пользователей. Также группировки конкурируют друг с другом за контроль над уязвимыми магазинами.
Вредоносные скрипты внедряются на скомпрометированные сайты с доменов, которые названы так, чтобы казаться известными библиотеками JavaScript или аналитическими пакетами. Например, «Бурундуки» используют домен jgueurystatic[.]xyz, чтобы маскироваться под jQuery. А у «Полевок» есть домен cdnstatics[.]net, который создает впечатление, что скрипты предназначены для аналитики, как это было при взломе интернет-магазина Ray-Ban.
Аналитики Sansec отмечают, что неоднократно предупреждали операторов многих уязвимых сайтов о проблеме (в том числе Ray-Ban, Whirlpool, National Geographic и Segway), однако так и не получили никаких ответов от компаний.
