Une vulnérabilité baptisée « Piqûre cosmique » affectant les sites Web Adobe Commerce et Magento reste en grande partie non corrigée neuf jours après la mise à disposition de la mise à jour de sécurité, laissant des millions de sites exposés à des attaques catastrophiques.
Selon les statistiques de Sansec, environ trois sites Web sur quatre utilisant les plateformes de commerce électronique touchées n’ont pas été corrigés contre CosmicSting, ce qui les expose au risque d’injection d’entité externe XML (XXE) et d’exécution de code à distance (RCE).
« »Cosmic String (alias CVE-2024-34102) est le pire bogue à avoir frappé les magasins Magento et Adobe Commerce en deux ans », déclare Swansea.
« En soi, il permet à quiconque de lire des fichiers privés (tels que ceux avec des mots de passe). Cependant, combiné au récent bogue iconv sous Linux, il se transforme en cauchemar de sécurité de l’exécution de code à distance. »
La faille, classée critique (score CVSS: 9,8), impacte les versions de produits suivantes:
- Adobe Commerce 2.4.7 et versions antérieures, y compris 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
- Prise en charge étendue d’Adobe Commerce 2.4.3-ext-7 et versions antérieures, 2.4.2-ext-7 et versions antérieures, 2.4.1-ext-7 et versions antérieures, 2.4.0-ext-7 et versions antérieures, 2.3.7-p4-ext-7 et versions antérieures.
- Magento Open Source 2.4.7 et versions antérieures, y compris 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
- Plug-in Adobe Commerce pour les Webhooks versions 1.2.0 à 1.4.0
Sansec dit que bien qu’Adobe ait omis des détails techniques sur son bulletin pour éviter d’alimenter une exploitation active, des méthodes d’attaque efficaces peuvent être facilement déduites du code de correctif, que ses analystes ont utilisé pour reproduire l’attaque.
Sur la base de la gravité et de la faible complexité de la déduction des chemins d’attaque efficaces, Sansec estime que CosmicSting coche toutes les cases pour devenir l’une des attaques les plus dommageables de l’histoire du commerce électronique, aux côtés de « Shoplift », « Ambionics » et « Trojan Order ». »
Appliquez le correctif ou l’atténuation maintenant
Le fournisseur a publié des correctifs pour CVE-2024-34102 avec les versions suivantes, qu’il est recommandé aux administrateurs de la plate-forme de commerce électronique d’appliquer dès que possible:
- Adobe Commerce 2.4.7-versions 1, 2.4.6 à 6, 2.4.5 à 8, 2.4.4 à 9
- Prise en charge étendue d’Adobe Commerce 2.4.3-poste-8, 2.4.2-poste-8, 2.4.1-poste-8, 2.4.0-poste – 8, 2.3.7-p4-poste-8
- Logiciel libre Magento 2.4.7-p1, 2.4.6-p6, 2.4.5-p8 et 2.4.4-p9
- Plug-in Adobe Commerce pour les Webhooks version 1.5.0
Swansea recommande aux administrateurs du site de passer en mode « Rapport uniquement » avant la mise à niveau pour éviter un problème susceptible d’interrompre la fonctionnalité de paiement.
Pour ceux qui ne peuvent pas mettre à niveau pour le moment, il leur est conseillé de prendre les deux mesures suivantes:
Tout d’abord, vérifiez si votre système Linux utilise une bibliothèque glibc vulnérable à CVE-2024-2961 à l’aide de la commande ci-dessous, et mettez à niveau si nécessaire. La commande ci-dessous téléchargera un fichier de code source C, le compilera et l’exécutera sur votre ordinateur pour détecter si vous êtes vulnérable.
curl -sO https://sansec.io/downloads/cve-2024-2961.c &&
gcc cve-2024-2961.c -o poc &&
./pocEnsuite, vous devez ajouter le code « correctif d’urgence » suivant sur ‘ app / bootstrap.php ‘ pour bloquer la plupart des attaques de chaînes cosmiques.
if (strpos(file_get_contents('php://input'), 'dataIsURL') !== false) {
header('HTTP/1.1 503 Service Temporarily Unavailable');
header('Status: 503 Service Temporarily Unavailable');
exit;
}Breachtrace n’a pas testé le correctif et ne peut garantir son efficacité ou sa sécurité, utilisez-le donc à vos risques et périls.