Adobe Commerce／Magento の脆弱性 CosmicSting による被害：オンラインストアの５％が侵害

Thousands of Adobe Commerce e-stores hacked by exploiting the CosmicSting bug

2024/10/02 SecurityAffairs — Adob​​e Commerce の脆弱性 CosmicSting CVE-2024-34102 (CVSS：9.8) を悪用する複数の脅威アクターが、この３ヶ月間で 4,000 以上のオンライン・ストアを侵害したと、Sansec の研究者が報告している。この脆弱性は、XML External Entity Reference (XXE) の不適切な制限に起因し、任意のコード実行につながる恐れが生じる。細工された XML ドキュメントを送信し、そこから外部エンティティを参照する撃者は、この問題を悪用する可能性を手にする。さらに、この問題の悪用において、ユーザーの操作は必要ないと、専門家たちが指摘している。

この脆弱性は、Adobe Commerce バージョン 2.4.7／2.4.6-p5／2.4.5-p7／2.4.4-p8 以下に影響を及ぼす。Adob​​e Commerce マーチャントを標的とした限定的な攻撃で、すでに脆弱性 CVE-2024-34102 が悪用されていると、Adobe は警告している。

2024年7月の時点で、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログに追加している。

この２年間において、CosmicSting と命名された脆弱性 CVE-2024-34102 は、Magento／Adobe Commerceストアに影響を与えた最も深刻なバグであり、１時間あたり 3〜5件の割合でハッキングが発生していると、Sansec は指摘している。オンライン・ショップ事業者に求められるのは、速やかな対策の実施である。

攻撃者たちは、この CosmicSting と、別の脆弱性 CVE-2024-2961 を連鎖させ、基盤となるサーバ上で任意のコードを実行し、バックドアをインストールすることも可能にしている。

Sansec が公開した新たなアドバイザリには、「Adobe Commerce／Magento プラットフォームの深刻なバグ CosmicSting の、悪用に成功した攻撃者は、パスワードや機密ファイルなどの読み取り可能にする。一般的な攻撃シナリオは、”app/etc/env.php” から秘密の暗号キーを盗み出し、それを悪用することで、Magento API 経由で CMS ブロックを変更するというものだ。その後に攻撃者は、悪質な JavaScript を挿入し、顧客のデータを盗みだす。別の脆弱性 CVE-2024-2961 の連鎖を実現する攻撃者は、標的サーバ上でダイレクトにコードを実行し、バックドアのインストールも可能にするという」と記されている。

このエクスプロイトにより、電子商取引に深刻な影響が生じている。この夏の間に、Adobe Commerce／ Magento ストアの 5% が、サイバー犯罪者たちによりハッキングされたと、研究者たちは報告している。例として挙げられる被害者としては、Ray-Ban／National Geographic／Cisco／Whirlpool／Segway などの大手もいる。少なくとも７種類の犯罪グループが脆弱性 CosmicSting を悪用し、被害者のストアに電子スキマーを展開していると、専門家たちが報告している。

Sansec は、「当社の調査によると、6月11日の時点で CVE-2024-34102 (CosmicSting) が公開された以降において、７つの犯罪グループが、4275件のオンライン・ストアをハッキングしている。継続的に警告を発してきたが、今年の夏の間に、Adobe Commerce／Magentoストアの 5％ のチェックアウト・ページに、支払いスキマーが仕掛けられた」と報告している。

この脆弱性を悪用する脅威グループとして挙げられるのは、Bobry／Polyovki／Surki／Burunduki／Ondatry／Khomyaki／Belki などであり、その中でも Polyovki は、650件以上のストアを感染させたという。なお、2022年に TrojanOrder の脆弱性を悪用して、4,000件以上のオンライン・ストアを侵害した、Ondatry グループも、いまは CosmicSting に切り替えている。

7月8日に Adobeは、自動化された攻撃が開始され、数千の暗号キーが盗まれたとし、きわめて深刻な事態にあると警告を発した。その一方で専門家たちは、システムを更新しても、古いキーが自動的に無効化されず、ストアが脆弱な状態に置かれていることに気づいた。 Adobe は、古いキーを削除するためのマニュアル・ガイドを提供しているが、すべての販売者が、それに従ったわけではない。

Sansec は、「それぞれの犯罪者グループは、CosmicSting 攻撃により、Magento のシークレット暗号化キーを盗み出す。このキーは、API 認証トークンを生成するために悪用する攻撃者は、顧客のプライベートデータにアクセスし、”CMS” ブロックを介して、チェックアウト・プロセスに支払いスキマーを挿入できるようになる」と解説している。

Adobe Commerce／Magento オンライン・ストアの管理者に強く推奨されるのは、可能な限り早急にアップグレードすることだ。

Adobe Commerce／Magento の脆弱性 CVE-2024-34102 については、2024/07/17 の「CISA KEV 警告 24/07/17：Adobe／SolarWinds／VMware の脆弱性を登録」が第一報となっています。その後に、この脆弱性には CosmicSting という名前がつけられ、現在にいたっています。なかなか、攻撃が止まらないようです。よろしければ、脆弱性 CVE-2024-34102 で検索も、ご利用ください。