CosmicSting flaw impacts 75% of Adobe Commerce, Magento sites
2024/06/20 BleepingComputer — Adobe Commerce と Magento を用いる Web サイトに対して、”CosmicSting” と呼ばれる脆弱性が影響を及ぼしている。すでに9日も前に、セキュリティ・アップデートが提供されているが、現時点でもパッチの適用は進まず、サイバー攻撃による壊滅的な被害が、何百万ものサイトに生じる可能性がある。Sansec の統計によると、CosmicSting の影響を受ける eコマース・サイトの約4分の3がパッチ未適用の状態にあり、XML 外部エンティティ・インジェクション (XXE) やリモート・コード実行 (RCE) の危険にさらされているという。
Sansec は「Magento と Adobe Commerce ストアに発生した脆弱性 CosmicSting (CVE-2024-34102) は、この2年間で最悪のバグだ。それ自体を悪用するだけでも、パスワードが置かれるようなプライベート・ファイルを、誰もが読み取ることが可能になってしまう。その一方で、最近の Linux glibc における iconv バグと組み合わせると、リモート・コード実行というセキュリティの悪夢に変わる」と述べている。
致命的と評価された、この脆弱性 CVE-2024-34102 (CVSS:9.8) は、以下の製品バージョンに影響を与える:
- Adobe Commerce 2.4.7 以下 (2.4.6-p5/2.4.5-p7/2.4.4-p8 を含む)
- Adobe Commerce Extended Support 2.4.3-ext-7 以下/2.4.2-ext-7 以下/2.4.1-ext-7 以下/2.4.0-ext-7 以下/2.3.7-p4-ext-7 以下
- Magento Open Source 2.4.7 以下 (2.4.6-p5/2.4.5-p7/2.4.4-p8 を含む)
- Adobe Commerce Webhooks Plugin versions 1.2.0~1.4.0
積極的な悪用を避けたい Adobe は、技術的な詳細情報を公表していないが、Sansec によると、効果的な攻撃手法はパッチコードから容易に推測できるという。
CosmicSting は深刻な脆弱性であり、悪用における複雑性は低く、効果的な攻撃経路の推測も可能だ。つまり CosmicStingは、”Shoplift“/”Ambionics“/”Trojan Order” と並び、e コマース史上における最も有害な攻撃を生み出す、すべての条件を有すると Sansec は推測している。
修正/軽減措置の適用
すでに Adobe は、脆弱性 CVE-2024-34102 に対する修正プログラムを、以下のバージョンでリリースしている。e コマース・プラットフォームの管理者に推奨されるのは、可能な限り迅速にアップデートを適用することだ。
- Adobe Commerce 2.4.7-p1/2.4.6-p6/2.4.5-p8/2.4.4-p9
- Adobe Commerce Extended Support 2.4.3-ext-8、2.4.2-ext-8/2.4.1-ext-8/2.4.0-ext-8/2.3.7-p4-ext-8
- Magento Open Source 2.4.7-p1/2.4.6-p6/2.4.5-p8/2.4.4-p9
- Adobe Commerce Webhooks Plugin バージョン 1.5.0
チェックアウト機能の破損という問題を避けるために、Sansec がサイト管理者に推奨しているのは、アップグレードする前に “Report-Only” モードに切り替えることだ。
なお、アップグレードを直ちに実施できない場合には、以下の2つの対策が推奨されている:
最初に、以下のコマンドを使って、脆弱性 CVE-2024-2961 に対して脆弱な glibc ライブラリが、運用中の Linux システムで使用されているかどうかをチェックし、必要に応じてアップグレードする。以下のコマンドは、C のソースコード・ファイルをダウンロード/コンパイルした後に、運用中のコンピューター上で実行し、この脆弱性の有無を検出するものだ。
curl -sO https://sansec.io/downloads/cve-2024-2961.c &&
gcc cve-2024-2961.c -o poc &&
./poc
続いて、”app/bootstrap.php” に対して、以下の ”emergency fix” コードを追加することで、CosmicSting 攻撃をブロックする必要がある。
if (strpos(file_get_contents('php://input'), 'dataIsURL') !== false) {
header('HTTP/1.1 503 Service Temporarily Unavailable');
header('Status: 503 Service Temporarily Unavailable');
exit;
}
この修正プログラムについて、BleepingComputer ではテストを行っていない。したがって、その有効性や安全性は保証できないため、自己責任で使用してほしい。
この6月の Adobe Patch Tuesday で修正された CVE-2024-34102 ですが、多数のサイトで放置されているようであり、ちょっと心配な状況です。さらに、glibc の脆弱性 CVE-2024-2961 との連鎖で、さらに深刻な状況にいたると指摘されています。よろしければ、以下の関連リンクも、ご参照ください。
2024/06/12:Adobe の Patch Tuesday 6月:CVE-2024-34102 などが修正
2024/05/27:glibc の CVE-2024-2961:Poc エクスプロイトが公開
2024/04/19:glibc の CVE-2024-2961 が FIX:PHP 環境への攻撃が?
IoT OT Security News 
You must be logged in to post a comment.