أسماء كبيرة من بين آلاف المصابين بفيروس CosmicSting المحتالين الذين يسرقون بطاقات الدفع

تعد Ray-Ban وNational Geographic وWirlpool وSegway من بين آلاف العلامات التجارية التي تم الإبلاغ عن تعرض متاجرها على الإنترنت للاختراق من قبل المجرمين الذين يستغلون ثغرة CosmicSting على أمل سرقة معلومات بطاقة الدفع الخاصة بالمتسوقين أثناء طلبهم الأشياء عبر الإنترنت.

CosmicSting هو اسم لثغرة أمنية حرجة،”_blank” rel=”nofollow” href=”https://nvd.nist.gov/vuln/detail/CVE-2024-34102″>CVE-2024-34102، في برنامج Adobe’s Commerce وMagento، ويمكن استخدامه للتلاعب بصفحات المواقع بحيث يمكن سحب بيانات المستخدم بهدوء.

يقال إن ما لا يقل عن سبع عصابات جرائم إلكترونية تقف وراء عمليات السطو الإلكترونية المستمرة التي تستغل CosmicSting. خلال فصل الصيف هنا في النصف الشمالي من الكرة الأرضية، تمكن المحتالون من ضرب 4275 تاجرًا يستخدمون Commerce وMagento لإدارة متاجرهم عبر الإنترنت، حسبما ذكرت شركة مراقبة التجارة الإلكترونية Sansec.”_blank” rel=”nofollow” href=”https://sansec.io/research/cosmicsting-fallout”> ذكرت هذا الأسبوع. يبدو أن هذا يمثل خمسة بالمائة من جميع متاجر Adobe Commerce وMagento.

لقد طلبنا من Sansec والضحايا المذكورين أعلاه مزيدًا من التفاصيل، وتحديد ما إذا كانوا قادرين على تصحيح مواقعهم الإلكترونية حتى الآن.

السجل تحدث مع سيسكو في الشهر الماضي، بعد وقت قصير من استغلال الأوغاد لـ CosmicSting لمهاجمة موقع السلع القائم على Magento التابع لـ Switchzilla، أكد لنا متحدث رسمي أنه تمت معالجة الضعف الأمني. “Based on our investigation, the issue impacted only a limited number of site users, and those users have been notified,” وقال المتحدث باسم سيسكو. “No credentials were compromised.”

على أية حال، يمكن استغلال CosmicSting ليس فقط لسرقة معلومات البطاقة، إذا كانت متوفرة، ولكن أيضًا لسرقة أي معلومات من صفحة الموقع المخترق، مثل بيانات اعتماد تسجيل دخول العميل وبياناته.

يتم استخدام Adobe’s Commerce وMagento على نطاق واسع في مواقع التسوق عبر الإنترنت، وبالتالي يجذب المحتالون الراغبين في اعتراض وسرقة البيانات من المتسوقين بحيث يمكن استخدامها في الاحتيال. وبسبب هذا،”_blank” href=”https://www.theregister.com/2023/08/11/magento_shopping_cart_attack_targets/”> مآثر استهداف الماجنتو يتم تصنيفها بشكل جماعي على أنها هجمات Magecart. يتم تشغيل Adobe Commerce بشكل أساسي بواسطة Magento، وهو عملاق Photoshop”_blank” href=”https://www.theregister.com/2018/05/22/adobe_acquires_magento/”>اشترى في عام 2018 مقابل 1.68 مليار دولار.

ننتقل إلى التفاصيل: CVE-2024-34102 عبارة عن ثغرة أمنية تبلغ 9.8 من أصل 10 بتصنيف CVSS غير مصادق عليه XXE (كيان XML خارجي) ويمكن اختراقها”_blank” rel=”nofollow” href=”https://www.vicarius.io/vsociety/posts/cosmicsting-critical-unauthenticated-xxe-vulnerability-in-adobe-commerce-and-magento-cve-2024-34102″> مستغلة لتغيير صفحات الويب التي تخدمها عمليات نشر Adobe Commerce وMagento الضعيفة في نهاية المطاف.

في حالة هذه الهجمات المذكورة أعلاه، يستخدم المحتالون CosmicSting لإضافة JavaScript ضار إلى صفحات الدفع لسرقة معلومات الدفع الخاصة بالعملاء أثناء كتابتها، أو تغيير الصفحات الأخرى للحصول على بيانات أخرى. تم اكتشافه والإبلاغ عنه بواسطة”_blank” rel=”nofollow” href=”https://github.com/spacewasp/public_docs/blob/main/CVE-2024-34102.md”>سيرجي تيمنيكوف.

يمكن دمج CVE-2024-34102 اختياريًا مع الخطورة العالية”_blank” rel=”nofollow” href=”https://www.ambionics.io/blog/iconv-cve-2024-2961-p1″>CVE-2024-2961 – تجاوز سعة المخزن المؤقت glibc الذي يمكن الوصول إليه على Linux من PHP – لتحقيق تنفيذ التعليمات البرمجية عن بعد على مضيف خادم Commerce أو Magento الضعيف. يمكن استخدام هذا الخلل الأخير لتثبيت باب خلفي على الجهاز للوصول المستمر.

أدوبي”_blank” rel=”nofollow” href=”https://helpx.adobe.com/security/products/magento/apsb24-40.html”>مصححة CVE-2024-34102 في 11 يونيو، ولكن بحلول ذلك الوقت “”_blank” rel=”nofollow” href=”https://sansec.io/research/cosmicsting#timeline”>automated attacks had already begun,” بحسب سانسيك.

• تعرض متسوقو سلع Cisco لهجوم Magecart
• يستهدف هجوم عربة تسوق Magento ثغرة أمنية حرجة تم الكشف عنها في أوائل عام 2022
• يصيب طاقم برامج الفدية أكثر من 100 مؤسسة شهريًا باستخدام متغير MedusaLocker الجديد

يتم تشغيل سبع مجموعات متميزة على الأقل “large scale” حملات CosmicSting، حيث يستخدمون الخلل للحصول على مفاتيح Magento السرية من التثبيتات لإنشاء الرموز المميزة التي تمنح وصولاً غير مقيد إلى Magento API، مما يسمح بتحرير المواقع.

مع هجمات Magecart، عادةً ما يقوم المجرمون الأوائل الذين يقومون بتسوية موقع ما بمنع الآخرين من الانتقال إلى منطقتهم. “However, the CosmicSting vulnerability prevents this, leading to multiple groups fighting for control over the same store and evicting each other again and again,” وأشار فريق الطب الشرعي في Sansec.

قيل لنا أنه في بعض الحالات، تم رصد ثلاث عصابات مختلفة وهي تتقاتل على نفس المتجر.

وكجزء من تحليلها المستمر، قامت Sansec بجمع أدوات تحميل CosmicSting مختلفة، يرتبط كل منها ببنية تحتية مختلفة وطرق سرقة البيانات، ونشرت قائمة كاملة بـ”_blank” rel=”nofollow” href=”https://sansec.io/research/cosmicsting/#attack-attribution”> مؤشرات الهجوم، وهو أمر يستحق التحقق منه، خاصة إذا كنت تدير متجر Magento عبر الإنترنت.

رغم التحذيرات المستمرة.. “Sansec projects that more stores will get hacked in the coming months,” كتب الباحثون. ®