Critical Magento Flaw Exploited: CosmicSting (CVE-2024-34102) Strikes Global Brands
2024/07/15 SecurityOnline — Adobe Commerce と Magento を用いるストアへの、深刻な脅威である脆弱性 CVE-2024-34102 (別名:CosmicSting) は、現在も活発に悪用され続けている。セキュリティ企業 Sansec の新たな調査では、攻撃の急増が明らかになり、1時間あたり 3~5件のペースでオンラインストアが侵害されているとのことだ。その被害者には、国際的なブランドも含まれているようだ。
この、Magento/Adobe Commerce のファイル読み込みの脆弱性である CosmicSting (CVE-2024-34102) と、最近の Linux glibc における iconv バグ CVE-2024-2961 とを組み合わせると、リモートでのコード実行が可能になる。これらの脆弱性の悪用に成功した攻撃者は、標的システムのコントロールを完全に奪えるようになる。さらに、この攻撃シナリオは自動化できるため、被害が広範囲に及ぶ可能性がある。
まず、脆弱性 CVE-2024-34102 を悪用することで、攻撃者は Magento の秘密の暗号化キーを盗み出し、完全な管理 API アクセス権を持つ JWT (JSON Web Tokens)を生成する。そして攻撃者は、これらのトークンで武装し、Web サイトのコンテンツを更新するために使用される、コード・スニペットである CMS ブロックの操作を達成する。
最近の攻撃では、CMS ブロックに悪意のスクリプトを注入することで、不正注文/顧客データの窃取/Web サイト全体の侵害などが生じているという。
脆弱性 CosmicSting へのパッチ適用は極めて重要であるが、単にアップグレードするだけでは不十分かもしれない。盗まれた暗号化キーは依然として有効であり、攻撃者は JWT を生成し続けることが可能である。したがって、ユーザーにとって必要なことは、暗号化キーが危険にさらされていると捉えて、既存の秘密を再暗号化する措置を講じながら、暗号化キーをローテーションすることである。
その他の緩和策には、以下のようなものがある:
- データベース・トリガー・ログの導入: データベース・トリガー・ログを導入し、CMS ブロックへの変更を監査する。
- 継続的な監視:不審な動作や異常なアクセス・パターンを検知するために、システム・アクティビティを積極的に監視する。
Magento の脆弱性 CosmicSting CVE-2024-34102 ですが、第一報は 2024/06/20 の「脆弱性 CosmicSting CVE-2024-34102:Adobe Commerce/Magento サイトの 75% が未対応」となっています。それから1ヶ月ほどが経ちましたが、依然としてパッチ未適用のサイトがあり、攻撃の標的にされているようです。なお、glibc の深刻な脆弱性 CVE-2024-2961 については、2024/05/27 の「glibc の深刻な脆弱性 CVE-2024-2961:Poc エクスプロイトが公開」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.