Peneliti keamanan siber telah mengungkapkan bahwa 5% dari seluruh toko Adobe Commerce dan Magento telah diretas oleh pelaku jahat dengan mengeksploitasi kerentanan keamanan yang disebut CosmicSting.
Dilacak sebagai CVE-2024-34102 (Skor CVSS: 9.8), kelemahan kritis berkaitan dengan pembatasan yang tidak tepat pada kerentanan XML referensi entitas eksternal (XXE) yang dapat mengakibatkan eksekusi kode jarak jauh. Kekurangan tersebut, disebabkan oleh seorang peneliti bernama “spacewasp”, telah ditambal oleh Adobe pada Juni 2024.
Perusahaan keamanan Belanda Sansec, yang menggambarkan CosmicSting sebagai “bug terburuk yang menyerang toko Magento dan Adobe Commerce dalam dua tahun,” mengatakan situs e-commerce disusupi dengan kecepatan tiga hingga lima per jam.
Cacat tersebut kemudian dieksploitasi secara luas, sehingga Badan Keamanan Siber dan Infrastruktur AS (CISA) menambahkannya ke katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV) pada pertengahan Juli 2024.
Beberapa serangan ini melibatkan penggunaan kelemahan untuk mencuri kunci enkripsi rahasia Magento, yang kemudian digunakan untuk menghasilkan JSON Web Tokens (JWTs) dengan akses API administratif penuh. Pelaku ancaman kemudian terlihat memanfaatkan Magento REST API untuk menyuntikkan skrip berbahaya.
Ini juga berarti bahwa menerapkan perbaikan terbaru saja tidak cukup untuk mengamankan dari serangan tersebut, sehingga pemilik situs harus mengambil langkah untuk merotasi kunci enkripsi.
Serangan berikutnya yang diamati pada Agustus 2024 telah merantai CosmicSting dengan CNEXT (CVE-2024-2961), sebuah kerentanan di perpustakaan iconv dalam perpustakaan GNU C (alias glibc), untuk mencapai eksekusi kode jarak jauh.
“CosmicSting (CVE-2024-34102) memungkinkan pembacaan file secara sewenang-wenang pada sistem yang belum ditambal. Ketika dikombinasikan dengan CNEXT (CVE-2024-2961), pelaku ancaman dapat melakukan eksekusi kode jarak jauh, mengambil alih seluruh sistem,” kata Sansec.
Tujuan akhir dari kompromi ini adalah untuk membangun akses rahasia dan persisten pada host melalui GSocket dan memasukkan skrip jahat yang memungkinkan eksekusi JavaScript sewenang-wenang yang diterima dari penyerang untuk mencuri data pembayaran yang dimasukkan oleh pengguna di situs.
Temuan terbaru menunjukkan bahwa beberapa perusahaan, termasuk Ray Ban, National Geographic, Cisco, Whirlpool, dan Segway, telah menjadi korban serangan CosmicSting, dengan setidaknya tujuh kelompok berbeda mengambil bagian dalam upaya eksploitasi –
- Grup Bobryyang menggunakan pengkodean spasi untuk menyembunyikan kode yang menjalankan skimmer pembayaran yang dihosting di server jarak jauh
- Grup Poliovkiyang menggunakan injeksi dari cdnstatics.net/lib.js
- Kelompok Surkiyang menggunakan pengkodean XOR untuk menyembunyikan kode JavaScript
- Kelompok Burundukiyang mengakses kode skimmer dinamis dari WebSocket di wss://jgueurystatic[.]xyz:8101
- Kelompok Ondatryyang menggunakan malware pemuat JavaScript khusus untuk memasukkan formulir pembayaran palsu yang meniru formulir pembayaran sah yang digunakan oleh situs pedagang
- Kelompok Khomyakiyang mengekstrak informasi pembayaran ke domain yang menyertakan URI 2 karakter (“rextension[.]bersih/za/”)
- Grup Belkiyang menggunakan CosmicSting dengan CNEXT untuk memasang pintu belakang dan skimmer malware
“Pedagang sangat disarankan untuk meningkatkan ke versi terbaru Magento atau Adobe Commerce,” kata Sansec. “Mereka juga harus merotasi kunci enkripsi rahasia, dan memastikan bahwa kunci lama tidak valid.”
