Toko online Adobe Commerce dan Magento menjadi sasaran serangan “CosmicSting” dengan tingkat yang mengkhawatirkan, dengan pelaku ancaman meretas sekitar 5% dari seluruh toko.
Kerentanan CosmicSting (CVE-2024-32102) adalah kelemahan pengungkapan informasi dengan tingkat keparahan kritis; ketika dirantai dengan CVE-2024-2961, masalah keamanan pada fungsi iconv glibc, penyerang dapat mencapai eksekusi kode jarak jauh di server target.
Cacat kritis berdampak pada produk berikut:
- Adobe Commerce 2.4.7 dan versi lebih lama, termasuk 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
- Adobe Commerce Extended Support 2.4.3-ext-7 dan yang lebih lama, 2.4.2-ext-7 dan yang lebih lama, 2.4.1-ext-7 dan yang lebih lama, 2.4.0-ext-7 dan yang lebih lama, 2.3.7-p4- ext-7 dan sebelumnya.
- Magento Open Source 2.4.7 dan versi lebih lama, termasuk 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
- Plugin Adobe Commerce Webhook versi 1.2.0 hingga 1.4.0
Perusahaan keamanan situs web Sansec telah melacak serangan tersebut sejak Juni 2024 dan mengamati 4,275 toko yang dibobol dalam serangan CosmicSting, korban terkenal termasuk Whirlpool, Ray-Ban, National Geographic, Segway, dan Cisco, yang BleepingComputer melaporkan bulan lalu.
Sansec mengatakan bahwa banyak pelaku ancaman kini melakukan serangan karena kecepatan patching tidak sesuai dengan sifat kritis dari situasi tersebut.
“Sansec memproyeksikan bahwa lebih banyak toko akan diretas dalam beberapa bulan mendatang, karena 75% basis instalasi Adobe Commerce & Magento belum melakukan patch ketika pemindaian otomatis untuk kunci enkripsi rahasia dimulai,” memperingatkan Sansec.
Gelombang serangan terburuk dalam beberapa tahun terakhir
Seperti prediksi Sansec, ketika CosmicSting diungkapkan dengan sedikit rincian teknis dan pemberitahuan mendesak untuk menerapkan pembaruan keamanan, CosmicSting mengumumkan salah satu ancaman terburuk terhadap ekosistem e-commerce.
Para peneliti sekarang melacak tujuh kelompok ancaman berbeda yang menggunakan CosmicSting untuk menyusupi situs yang belum ditambal, bernama “Bobry”, “Polyovki”, “Surki”, “Burunduki”, “Ondatry”, “Khomyaki”, dan “Belki”. Kelompok-kelompok ini dianggap oportunis yang bermotivasi finansial, melanggar situs untuk mencuri informasi kartu kredit dan pelanggan.
Ondatry menggunakan kelemahan “TrojanOrder” pada tahun 2022 tetapi kini telah beralih ke CosmicSting, yang menunjukkan bagaimana beberapa pelaku ancaman berspesialisasi dalam ruang tersebut dan terus mencari peluang dalam kerentanan kritis yang mudah dieksploitasi.
Para pelaku ancaman memanfaatkan CosmicSting untuk mencuri kunci kriptografi Magento, menyuntikkan skimmer pembayaran untuk mencuri kartu dari halaman web pembayaran pesanan, dan bahkan saling bertarung untuk mendapatkan kendali atas toko-toko yang rentan.
Skrip berbahaya disuntikkan ke situs yang disusupi dari domain yang diberi nama agar muncul sebagai pustaka JavaScript atau paket analitik terkenal. Misalnya, peretas Burunduki menggunakan domain ‘jgueurystatic[.]xyz’ tampak seperti jQuery.
Pelaku ancaman Polyovki menggunakan ‘cdnstatics[.]net’ tampak seolah-olah skrip tersebut untuk analisis situs web, seperti yang ditunjukkan dalam kompromi toko online Ray-Ban.
Sumber: Sansek
BleepingComputer membatalkan penyamaran skrip lib.js, dan Anda dapat melihat di bawah bahwa skrip tersebut mencoba mencuri nomor kartu kredit pelanggan, nama, tanggal kedaluwarsa, kode keamanan, dan informasi pelanggan.
Sumber: BleepingComputer
Sansec mengatakan kepada BleepingComputer bahwa mereka telah memperingatkan banyak situs, termasuk Ray-Ban, Whirlpool, National Geographic, dan Segway, tentang serangan ini beberapa kali tetapi belum mendapat kabar dari mereka. BleepingComputer juga telah mengirimkan email kepada merek yang terkena dampak kemarin, namun kami belum menerima tanggapan.
Pendiri Sansec Willem de Groot mengatakan bahwa Segway dan Whirlpool tampaknya telah diperbaiki dan BleepingComputer tidak dapat menemukan kode berbahaya di situs Ray-Ban, yang mengindikasikan bahwa kode tersebut mungkin juga telah diperbaiki.
Administrator situs web sangat disarankan untuk beralih ke versi berikut (atau lebih baru) sesegera mungkin:
- Adobe Commerce 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
- Dukungan Perpanjangan Adobe Commerce 2.4.3-ext-8, 2.4.2-ext-8, 2.4.1-ext-8, 2.4.0-ext-8, 2.3.7-p4-ext-8
- Sumber Terbuka Magento 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
- Plugin Adobe Commerce Webhook versi 1.5.0
Sansec telah menyediakan alat untuk memeriksa apakah situs mereka rentan dan “perbaikan terbaru darurat” telah dirilis untuk memblokir sebagian besar serangan CosmicSting, dengan keduanya tersedia di sini.
