ร้านค้าออนไลน์ Adobe Commerce และ Magento กำลังตกเป็นเป้าหมายของการโจมตี "CosmicSting" โดยผู้ไม่หวังดีได้แฮ็กร้านค้าประมาณ 5% ของร้านค้าทั้งหมด
ช่องโหว่ CosmicSting (CVE-2024-32102) เป็นช่องโหว่ที่มีความรุนแรงระดับ Critical เกี่ยวกับการเปิดเผยข้อมูล และเมื่อโจมตีควบคู่กับช่องโหว่ CVE-2024-2961 ซึ่งเป็นช่องโหว่ด้านความปลอดภัยในฟังก์ชัน iconv ของ glibc ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้เพื่อรันโค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์เป้าหมายได้
ช่องโหว่ที่มีความรุนแรงระดับ Critical ส่งผลกระทบต่อผลิตภัณฑ์ดังต่อไปนี้
- Adobe Commerce 2.4.7 และเวอร์ชันก่อนหน้า รวมถึง 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
- Adobe Commerce Extended Support 2.4.3-ext-7 และเวอร์ชันก่อนหน้า, 2.4.2-ext-7 และเวอร์ชันก่อนหน้า, 2.4.1-ext-7 และเวอร์ชันก่อนหน้า, 2.4.0-ext-7 และเวอร์ชันก่อนหน้า, 2.3.7-p4-ext-7 และเวอร์ชันก่อนหน้า
- Magento Open Source 2.4.7 และเวอร์ชันก่อนหน้า รวมถึง 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
- Adobe Commerce Webhooks Plugin เวอร์ชัน 1.2.0 ถึง 1.4.0
บริษัทด้านความปลอดภัยเว็บไซต์ Sansec ได้ติดตามการโจมตีเหล่านี้มาตั้งแต่เดือนมิถุนายน 2024 และพบว่ามีร้านค้าถูกแฮ็กจากการโจมตีช่องโหว่ CosmicSting จำนวน 4,275 แห่ง ซึ่งเป็นเหยื่อที่มีชื่อเสียง เช่น Whirlpool, Ray-Ban, National Geographic, Segway, และ Cisco ซึ่ง BleepingComputer รายงานเมื่อเดือนที่แล้ว
Sansec ระบุว่า ผู้โจมตีหลายกลุ่มกำลังดำเนินการโจมตีอยู่ในขณะนี้ เนื่องจากความเร็วในการออกแพตช์ไม่ทันต่อความรุนแรงของสถานการณ์
Sansec เตือนว่า "คาดว่าจะมีร้านค้าอีกจำนวนมากถูกแฮ็กในอีกไม่กี่เดือนข้างหน้า เนื่องจาก 75% ของฐานการติดตั้ง Adobe Commerce และ Magento ยังไม่ได้ทำการแพตช์ เมื่อมีการเริ่มสแกนอัตโนมัติเพื่อค้นหา secret encryption keys"
การโจมตีที่เลวร้ายที่สุดในรอบหลายปี
ตามที่ Sansec คาดการณ์ไว้ เมื่อช่องโหว่ CosmicSting ได้รับการเปิดเผยพร้อมรายละเอียดทางเทคนิคที่น้อยมาก และมีการประกาศแจ้งเตือนด่วนให้ติดตั้งการอัปเดตด้านความปลอดภัย มันจึงถูกประกาศให้เป็นหนึ่งในภัยคุกคามที่เลวร้ายที่สุดต่อระบบอีคอมเมิร์ซ
นักวิจัยกำลังติดตามกลุ่มผู้ไม่หวังดีทั้งหมดเจ็ดกลุ่มที่ใช้ช่องโหว่ CosmicSting เพื่อเจาะระบบเว็บไซต์ที่ยังไม่ได้ทำการแพตช์ โดยกลุ่มเหล่านี้มีชื่อว่า Bobry, Polyovki, Surki, Burunduki, Ondatry, Khomyaki, และ Belki โดยกลุ่มเหล่านี้ถือเป็นกลุ่มผู้ไม่หวังดีที่มีแรงจูงใจทางด้านการเงิน ซึ่งจะเข้าถึงเว็บไซต์เพื่อขโมยข้อมูลบัตรเครดิต และข้อมูลของลูกค้า
Ondatry เคยใช้ช่องโหว่ "TrojanOrder" ในปี 2022 แต่ตอนนี้ได้เปลี่ยนไปใช้ช่องโหว่ CosmicSting ซึ่งแสดงให้เห็นว่าผู้ไม่หวังดีบางรายมีความเชี่ยวชาญในด้านนี้ และมองหาโอกาสในการใช้ประโยชน์จากช่องโหว่ระดับ Critical และถูกโจมตีได้ง่ายอย่างต่อเนื่อง
ผู้ไม่หวังดีหลายกลุ่มกำลังใช้ CosmicSting เพื่อขโมย cryptographic keys ของ Magento รวมถึง inject payment skimmers เพื่อขโมยข้อมูลบัตรจากหน้าเช็คเอาท์คำสั่งซื้อ และสู้กันเองเพื่อเข้าควบคุมร้านค้าที่มีช่องโหว่
สคริปต์ที่เป็นอันตรายที่ถูกแทรกเข้าไปในเว็บไซต์ที่ถูกแฮ็ก มาจากโดเมนที่ตั้งชื่อให้เหมือนกับไลบรารี JavaScript หรือแพ็คเกจการวิเคราะห์ที่มีชื่อเสียง เช่น กลุ่ม Burunduki ใช้โดเมน 'jgueurystatic[.]xyz' เพื่อให้ดูเหมือนกับ jQuery
ผู้ไม่หวังดีกลุ่ม Polyovki ใช้โดเมน 'cdnstatics[.]net' เพื่อทำให้ดูเหมือนว่าสคริปต์นั้นใช้สำหรับการวิเคราะห์เว็บไซต์ ซึ่งเห็นได้จากกรณีการแฮ็กร้านค้าออนไลน์ของ Ray-Ban
BleepingComputer ได้ทำการถอดรหัสสคริปต์ lib.js ซึ่งสคริปต์นี้พยายามขโมยหมายเลขบัตรเครดิต, ชื่อ, วันหมดอายุ, รหัสรักษาความปลอดภัย และข้อมูลของลูกค้า
Sansec ให้ข้อมูลกับ BleepingComputer ว่า พวกเขาได้แจ้งเตือนเว็บไซต์หลายแห่ง รวมถึง Ray-Ban, Whirlpool, National Geographic, และ Segway เกี่ยวกับการโจมตีเหล่านี้หลายครั้ง แต่ยังไม่ได้รับการตอบกลับใด ๆ จากเว็บไซต์ และ BleepingComputer ได้ส่งอีเมลถึงแบรนด์ที่ได้รับผลกระทบเมื่อไม่นานมานี้ แต่ยังไม่ได้รับการตอบกลับเช่นกัน
Willem de Groot ผู้ก่อตั้ง Sansec ระบุว่า Segway และ Whirlpool ดูเหมือนจะได้รับการแก้ไขแล้ว และ BleepingComputer ไม่พบโค้ดที่เป็นอันตรายบนเว็บไซต์ของ Ray-Ban ซึ่งแสดงให้เห็นว่าได้รับการแก้ไขไปแล้วเช่นกัน
แนะนำผู้ดูแลเว็บไซต์ให้อัปเกรดระบบไปยังเวอร์ชันต่อไปนี้ (หรือเวอร์ชันที่ใหม่กว่า) โดยเร็วที่สุด
- Adobe Commerce 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
- Adobe Commerce Extended Support 2.4.3-ext-8, 2.4.2-ext-8, 2.4.1-ext-8, 2.4.0-ext-8, 2.3.7-p4-ext-8
- Magento Open Source 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
- Adobe Commerce Webhooks Plugin เวอร์ชัน 1.5.0
Sansec ได้จัดเตรียมเครื่องมือเพื่อตรวจสอบว่าเว็บไซต์มีช่องโหว่หรือไม่ และได้ปล่อย "แพตซ์แก้ไขด่วนฉุกเฉิน" เพื่อป้องกันการโจมตีช่องโหว่ CosmicSting ทั้งสองอย่างนี้สามารถเข้าถึงได้ที่ Link
ที่มา :bleepingcomputer.com
You must be logged in to post a comment.