Recentemente, i ricercatori di cybersecurity hanno rivelato che il 5% di tutti i negozi Adobe Commerce e Magento è stato compromesso da attori malintenzionati sfruttando una vulnerabilità critica, nota come CosmicSting. Questa falla di sicurezza, identificata come CVE-2024-34102 con un punteggio CVSS di 9.8, è legata a un'errata restrizione di riferimento di entità esterne XML (XXE), che può portare all'esecuzione di codice remoto. La vulnerabilità è stata scoperta da un ricercatore noto come "spacewasp" e Adobe ha rilasciato una patch a giugno 2024.

L'azienda di sicurezza olandese Sansec ha descritto CosmicSting come il peggior bug che ha colpito i negozi Magento e Adobe Commerce negli ultimi due anni, affermando che i siti di e-commerce vengono compromessi a un ritmo di tre-cinque per ora. A seguito di un'ampia esplorazione, l'Agenzia per la Sicurezza Cibernetica e delle Infrastrutture degli Stati Uniti (CISA) ha aggiunto il bug al catalogo delle Vulnerabilità Sfruttate Conosciute (KEV) a metà luglio 2024.

Alcuni di questi attacchi sfruttano la vulnerabilità per rubare la chiave di crittografia segreta di Magento, utilizzata per generare JSON Web Tokens (JWT) con accesso API amministrativo completo. I malintenzionati poi sfruttano l'API REST di Magento per iniettare script dannosi. Pertanto, applicare solo l'ultimo aggiornamento non basta per proteggere i siti, rendendo necessario ruotare le chiavi di crittografia.

Gli attacchi successivi osservati ad agosto 2024 hanno concatenato CosmicSting con CNEXT (CVE-2024-2961), una vulnerabilità nella libreria iconv all'interno della libreria GNU C (glibc), per ottenere l'esecuzione di codice remoto. Sansec ha osservato che CosmicSting consente la lettura arbitraria di file su sistemi non patchati e, combinato con CNEXT, permette agli attori di minaccia di eseguire codice remoto, prendendo il controllo del sistema.

L'obiettivo finale di questi compromessi è stabilire un accesso persistente e nascosto sull'host tramite GSocket e inserire script dannosi per eseguire JavaScript arbitrario ricevuto dall'attaccante, al fine di rubare i dati di pagamento inseriti dagli utenti sui siti. Le ultime scoperte indicano che diverse aziende, tra cui Ray Ban, National Geographic, Cisco, Whirlpool e Segway, sono state vittime degli attacchi CosmicSting, con almeno sette gruppi distinti coinvolti nello sfruttamento.

Questi gruppi includono Group Bobry, che utilizza l'encoding whitespace per nascondere il codice di uno skimmer di pagamento su un server remoto, e Group Polyovki, che utilizza un'iniezione da cdnstatics.net/lib.js, tra gli altri. Sansec consiglia fortemente ai commercianti di aggiornare all'ultima versione di Magento o Adobe Commerce, ruotare le chiavi di crittografia segrete e assicurarsi che le chiavi vecchie siano invalidate.