Investigadores de seguridad de la firma Sansec han informado de que múltiples actores de amenazas han explotado una vulnerabilidad crítica de la herramienta Adobe Commerce, llegando a comprometer más de 4.000 tiendas online en los últimos tres meses.
La falla ha sido rastreada como CVE-2024-34102 (también conocida como CosmicSting) y tiene una puntuación CVSS de 9,8.
Sansec asegura que CosmicSting es el error más grave que afecta a las tiendas Magento y Adobe Commerce en los últimos dos años. Los hackeos se estarían produciendo a un ritmo de 3 a 5 por hora.
El fallo afecta a las versiones 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 y anteriores de Adobe Commerce.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) incorporó la falla a su catálogo de vulnerabilidades explotadas conocidas en julio de 2024.
Debido a su peligrosidad se ha instado a los comerciantes a que implementen contramedidas de inmediato.
Los atacantes podrían encadenar la falla con la vulnerabilidad CVE-2024-2961 ejecutando código arbitrario en el servidor subyacente e instalando puertas traseras.
"CosmicSting se dirige a un error crítico en las plataformas Adobe Commerce y Magento. Los malos actores lo usan para leer cualquiera de sus archivos, como contraseñas y otros secretos", señalan los investigadores.
"La estrategia de ataque típica es robar su clave de cripta secreta de app/etc/env.php y usarla para modificar sus bloques de CMS a través de la API de Magento. Luego, los atacantes inyectan Javascript malicioso para robar los datos de su cliente", se lee en el aviso publicado por Sansec.
Esta vulnerabilidad habría tenido un impacto significativo. Los investigadores han revelado que los cibermalos han pirateado el 5% de todas las tiendas online de Adobe Commerce y Magento este verano. Así, se incluirían los ecommerce de marcas y empresas tan conocidas como Ray-Ban, Segway, Whirlpool, National Geographic o Cisco.
Los siete 'magníficos'
Desde Sansec también han descubierto que al menos siete grupos distintos están explotando la vulnerabilidad CosmicSting para desplegar e-skimmers en las tiendas de las víctimas. Los e-skimmers son falsas pasarelas de pago que se ponen sobre las auténticas para hacerse pasar por ellas y derivar los pagos de las compras o las suscripciones a cuentas controladas por los atacantes.
Entre estas bandas que han hecho uso de esta brecha están Bobry, Polyovki (que infecta más de 650 tiendas), Surki, Burunduki, Ondatry, Khomyaki y Belki.
Adobe informó de esta vulnerabilidad crítica en julio, tras iniciarse los ataques automatizados, robando miles de claves criptográficas. Aunque la compañía de software creativo ofreció una guía manual para eliminar las claves antiguas, no todos los propietarios de tiendas de ecommerce las siguieron.