يتم استهداف متاجر Adobe Commerce وMagento عبر الإنترنت”CosmicSting” الهجمات بمعدل ينذر بالخطر، حيث قامت الجهات الفاعلة في مجال التهديد باختراق ما يقرب من 5٪ من جميع المتاجر.
تعد ثغرة CosmicSting (CVE-2024-32102) ثغرة خطيرة في الكشف عن المعلومات؛ عند ربطه مع CVE-2024-2961، وهي مشكلة أمنية في وظيفة Iconv الخاصة بـ glibc، يمكن للمهاجم تنفيذ التعليمات البرمجية عن بعد على الخادم الهدف.
يؤثر الخلل الخطير على المنتجات التالية:
- Adobe Commerce 2.4.7 والإصدارات الأقدم، بما في ذلك 2.4.6-p5، 2.4.5-p7، 2.4.4-p8
- دعم Adobe Commerce الموسع 2.4.3-ext-7 والإصدارات الأقدم، 2.4.2-ext-7 والإصدارات الأقدم، 2.4.1-ext-7 والإصدارات الأقدم، 2.4.0-ext-7 والإصدارات الأقدم، 2.3.7-p4- تحويلة-7 وما قبله.
- Magento Open Source 2.4.7 والإصدارات الأقدم، بما في ذلك 2.4.6-p5، 2.4.5-p7، 2.4.4-p8
- إصدارات Adobe Commerce Webhooks Plugin من 1.2.0 إلى 1.4.0
قامت شركة أمان مواقع الويب Sansec بتتبع الهجمات منذ يونيو 2024 ولاحظت اختراق 4275 متجرًا في هجمات CosmicSting، وضحايا بارزين بما في ذلك Whirlpool وRay-Ban وNational Geographic وSegway وCisco، والتي”https://www.bleepingcomputer.com/news/security/hackers-inject-malicious-js-in-cisco-store-to-steal-credit-cards-credentials/” الهدف=”_blank”> تم الإبلاغ عن BleepingComputer الشهر الماضي.
تقول شركة Sansec أن العديد من الجهات الفاعلة في مجال التهديد تقوم الآن بشن هجمات لأن سرعة التصحيح لا تتوافق مع الطبيعة الحرجة للموقف.
“Sansec projects that more stores will get hacked in the coming months, as 75% of the Adobe Commerce & Magento install base hadn’t patched when the automated scanning for secret encryption keys started,” يحذر سانسيك.
أسوأ موجة هجومية منذ سنوات
وكما تنبأت شركة Sansec، عندما تم الكشف عن CosmicSting مع القليل من التفاصيل الفنية وإشعار عاجل لتطبيق التحديثات الأمنية، فقد أعلنت عن أحد أسوأ التهديدات التي يتعرض لها النظام البيئي للتجارة الإلكترونية.
يتتبع الباحثون الآن سبع مجموعات تهديد مختلفة تستخدم CosmicSting لاختراق المواقع غير المصححة، والتي تم تسميتها “Bobry,” “Polyovki,” “Surki,” “Burunduki,” “Ondatry,” “Khomyaki,” و “Belki.” وتعتبر هذه المجموعات انتهازية ذات دوافع مالية، وتقوم باختراق المواقع لسرقة معلومات بطاقات الائتمان والعملاء.
كان أونداتري يستخدم “TrojanOrder” سيتم اكتشاف الخلل في عام 2022 ولكنه انتقل الآن إلى CosmicSting، والذي يوضح كيف تتخصص بعض الجهات الفاعلة في مجال التهديد في المجال وتبحث باستمرار عن الفرص في نقاط الضعف الحرجة التي يمكن استغلالها بسهولة.
تستفيد الجهات الفاعلة في مجال التهديد من CosmicSting لسرقة مفاتيح التشفير Magento، وحقن كاشطات الدفع لسرقة البطاقات من صفحات الويب الخاصة بالدفع، وحتى قتال بعضهم البعض للسيطرة على المتاجر الضعيفة.
يتم حقن البرامج النصية الضارة في المواقع المخترقة من المجالات التي تمت تسميتها لتظهر كمكتبات جافا سكريبت أو حزم تحليلات معروفة. على سبيل المثال، يستخدم قراصنة Burunduki النطاق “jgueurystatic[.]xyz’ لتبدو وكأنها jQuery.
يستخدم ممثلو التهديد Polyovki “cdnstatics”.[.]net لتظهر كما لو كانت البرامج النصية مخصصة لتحليلات موقع الويب، كما هو موضح في اختراق متجر Ray-Ban عبر الإنترنت.
المصدر: سانسيك
قام BleepingComputer بإزالة التشويش عن البرنامج النصي lib.js، ويمكنك أن ترى أدناه أن البرنامج النصي يحاول سرقة أرقام بطاقات الائتمان الخاصة بالعملاء وأسمائهم وتواريخ انتهاء الصلاحية ورموز الأمان ومعلومات العميل.
المصدر: بليبينج كومبيوتر
وقالت شركة Sansec لـ BleepingComputer إنها حذرت العديد من المواقع، بما في ذلك Ray-Ban وWirlpool وNational Geographic وSegway، بشأن هذه الهجمات عدة مرات لكنها لم تتلق ردًا من أي منها. أرسلت BleepingComputer أيضًا بريدًا إلكترونيًا إلى العلامات التجارية المتأثرة بالأمس، لكننا لم نتلق ردًا بعد.
يقول مؤسس Sansec، ويليم دي جروت، إنه يبدو أن Segway وWirlpool قد تم إصلاحهما ولم يتمكن BleepingComputer من العثور على الكود الضار على موقع Ray-Ban، مما يشير إلى أنه قد يتم إصلاحه أيضًا.
يُنصح مسؤولو مواقع الويب بشدة بالانتقال إلى الإصدارات التالية (أو الأحدث) في أقرب وقت ممكن:
- أدوبي التجارة 2.4.7-ص1، 2.4.6-ص6، 2.4.5-ص8، 2.4.4-ص9
- دعم Adobe Commerce الموسع 2.4.3-ext-8، 2.4.2-ext-8، 2.4.1-ext-8، 2.4.0-ext-8، 2.3.7-p4-ext-8
- ماجنتو مفتوح المصدر 2.4.7-p1، 2.4.6-p6، 2.4.5-p8، 2.4.4-p9
- البرنامج المساعد Adobe Commerce Webhooks الإصدار 1.5.0
قدمت شركة Sansec أداة للتحقق مما إذا كان موقعها عرضة للخطر أم لا “emergency hotfix” تم إصداره لمنع معظم هجمات CosmicSting، مع”https://www.bleepingcomputer.com/news/security/cosmicsting-flaw-impacts-75-percent-of-adobe-commerce-magento-sites/” الهدف=”_blank”> كلاهما متاح هنا.