Les boutiques en ligne Adobe Commerce et Magento sont la cible d’attaques » Cosmic String  » à un rythme alarmant, les acteurs de la menace piratant environ 5% de tous les magasins.

La vulnérabilité CosmicSting (CVE-2024-32102) est une faille de divulgation d’informations de gravité critique; lorsqu’il est enchaîné avec CVE-2024-2961, un problème de sécurité dans la fonction iconv de la glibc, un attaquant peut exécuter du code à distance sur le serveur cible.

La faille critique affecte les produits suivants:

  • Adobe Commerce 2.4.7 et versions antérieures, y compris 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
  • Prise en charge étendue d’Adobe Commerce 2.4.3-ext-7 et versions antérieures, 2.4.2-ext-7 et versions antérieures, 2.4.1-ext-7 et versions antérieures, 2.4.0-ext-7 et versions antérieures, 2.3.7-p4-ext-7 et versions antérieures.
  • Magento Open Source 2.4.7 et versions antérieures, y compris 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
  • Plug-in Adobe Commerce pour les Webhooks versions 1.2.0 à 1.4.0

La société de sécurité de sites Web Sansec suit les attaques depuis juin 2024 et a observé 4 275 magasins violés lors d’attaques cosmiques, des victimes très médiatisées dont Whirlpool, Ray-Ban, National Geographic, Segway et Cisco, ce que Breachtrace a rapporté le mois dernier.

Sansec dit que plusieurs acteurs de la menace mènent maintenant des attaques car la vitesse de correction ne correspond pas à la nature critique de la situation.

« Sansec prévoit que davantage de magasins seront piratés dans les mois à venir, car 75% de la base d’installation d’Adobe Commerce et Magento n’avait pas été corrigée lorsque l’analyse automatisée des clés de cryptage secrètes a commencé », prévient Sansec.

La pire vague d’attaques depuis des années
Comme Sansec l’avait prédit, lorsque CosmicSting a été divulgué avec peu de détails techniques et un avis urgent d’appliquer les mises à jour de sécurité, il a annoncé l’une des pires menaces pour l’écosystème du commerce électronique.

Les chercheurs suivent maintenant sept groupes de menaces différents qui utilisent CosmicSting pour compromettre des sites non corrigés, nommés « Bobry », « Polyovki », « Surki », « Burunduki », « Ondatry », « Khomyaki » et  » Belki. »Ces groupes sont considérés comme des opportunistes motivés financièrement, violant les sites pour voler des informations sur les cartes de crédit et les clients.

Ondatry utilisait la faille « TrojanOrder » en 2022 mais est maintenant passée à CosmicSting, ce qui montre comment certains acteurs de la menace se spécialisent dans l’espace et recherchent continuellement des opportunités dans des vulnérabilités critiques facilement exploitables.

Les acteurs de la menace exploitent CosmicSting pour voler des clés cryptographiques Magento, injectent des skimmers de paiement pour voler des cartes sur les pages Web de paiement des commandes et se battent même pour le contrôle des magasins vulnérables.

Les scripts malveillants sont injectés dans des sites compromis à partir de domaines nommés pour apparaître comme des bibliothèques JavaScript ou des packages d’analyse bien connus. Par exemple, les pirates Burunduki utilisent le domaine ‘ jgueurystatic[.]xyz ‘ pour ressembler à jQuery.

Les acteurs de la menace Polyovki utilisent ‘ cdnstatics[.] net ‘ pour apparaître comme si les scripts étaient destinés à l’analyse de sites Web, comme le montre le compromis de la boutique en ligne de Ray-Ban.

Code malveillant sur le site Web de Ray-Ban

Breachtrace a désobfusqué la bibliothèque.script js, et vous pouvez voir ci-dessous que le script tente de voler les numéros de carte de crédit, les noms, les dates d’expiration, les codes de sécurité et les informations client des clients.

Partie du script de vol de données déobfusqué du site Ray-Ban

Sansec a déclaré à Breachtrace qu’il avait averti de nombreux sites, y compris Ray-Ban, Whirlpool, National Geographic et Segway, de ces attaques à plusieurs reprises, mais qu’il n’avait de nouvelles d’aucun d’entre eux. Breachtrace a également envoyé un e-mail aux marques concernées hier, mais nous n’avons pas encore reçu de réponse.

Le fondateur de Sansec, Willem de Groot, a déclaré que Segway et Whirlpool semblaient être corrigés et que Breachtrace ne pouvait pas trouver le code malveillant sur le site de Ray-Ban, indiquant qu’il pourrait également être corrigé.

Il est fortement conseillé aux administrateurs du site Web de passer aux versions suivantes (ou ultérieures) dès que possible:

  • Adobe Commerce 2.4.7-versions 1, 2.4.6 à 6, 2.4.5 à 8, 2.4.4 à 9
  • Prise en charge étendue d’Adobe Commerce 2.4.3-poste-8, 2.4.2-poste-8, 2.4.1-poste-8, 2.4.0-poste – 8, 2.3.7-p4-poste-8
  • Logiciel libre Magento 2.4.7-p1, 2.4.6-p6, 2.4.5-p8 et 2.4.4-p9
  • Plug-in Adobe Commerce pour les Webhooks version 1.5.0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *