CosmicSting: gravissima vulnerabilità colpisce il 75% dei siti Adobe Commerce e Magento

CosmicSting: una grave vulnerabilità per Adobe Commerce e Magento

Una vulnerabilità nota come “CosmicSting” (CVE-2024-34102) continua a mettere a rischio milioni di siti web basati su Adobe Commerce e Magento, nonostante il rilascio di patch di sicurezza nove giorni fa. Secondo le statistiche di Sansec, il 75% dei siti che utilizzano queste piattaforme e-commerce non ha ancora applicato la patch, rendendoli suscettibili ad attacchi di XML external entity injection (XXE) e remote code execution (RCE).

Impatto e gravità della vulnerabilità

CosmicSting è descritta da Sansec come “il peggior bug che abbia colpito i negozi Magento e Adobe Commerce negli ultimi due anni”. In sé, consente a chiunque di leggere file privati, come quelli contenenti password. In combinazione con il recente bug iconv in Linux, tuttavia, si trasforma in un incubo per la sicurezza.

Questa vulnerabilità, classificata come critica (CVSS score: 9.8), interessa le seguenti versioni di prodotto:

• Adobe Commerce 2.4.7 e versioni precedenti, inclusa la 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
• Adobe Commerce Extended Support 2.4.3-ext-7 e versioni precedenti, 2.4.2-ext-7 e versioni precedenti, 2.4.1-ext-7 e versioni precedenti, 2.4.0-ext-7 e versioni precedenti, 2.3.7-p4-ext-7 e versioni precedenti
• Magento Open Source 2.4.7 e versioni precedenti, inclusa la 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
• Adobe Commerce Webhooks Plugin versioni 1.2.0 a 1.4.0

Come mitigare la vulnerabilità CosmicSting

Il fornitore ha rilasciato patch per CVE-2024-34102 con le seguenti versioni, che gli amministratori delle piattaforme e-commerce sono invitati ad applicare il prima possibile:

• Adobe Commerce 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
• Adobe Commerce Extended Support 2.4.3-ext-8, 2.4.2-ext-8, 2.4.1-ext-8, 2.4.0-ext-8, 2.3.7-p4-ext-8
• Magento Open Source 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
• Adobe Commerce Webhooks Plugin versione 1.5.0

Sansec consiglia agli amministratori di siti di passare al “Report-Only” mode prima di aggiornare per evitare problemi che potrebbero interrompere la funzionalità di checkout.

Per coloro che non possono aggiornare immediatamente, Sansec suggerisce di adottare le seguenti misure:

1. Verificare la vulnerabilità del sistema Linux: Eseguire il seguente comando per verificare se il sistema Linux utilizza una libreria glibc vulnerabile a CVE-2024-2961. Se il sistema è vulnerabile, aggiornare la libreria glibc.

curl -sO https://sansec.io/downloads/cve-2024-2961.c && gcc cve-2024-2961.c -o poc && ./poc

2. Aggiungere un “emergency fix” code: Aggiungere il seguente codice all’inizio di ‘app/bootstrap.php’ per bloccare la maggior parte degli attacchi CosmicSting.

if (strpos(file_get_contents('php://input'), 'dataIsURL') !== false) {
  header('HTTP/1.1 503 Service Temporarily Unavailable');
  header('Status: 503 Service Temporarily Unavailable');
  exit;
}

BleepingComputer non ha testato questo fix e non può garantirne l’efficacia o la sicurezza, quindi utilizzarlo a proprio rischio.

La vulnerabilità CosmicSting rappresenta una grave minaccia per i siti web basati su Adobe Commerce e Magento. Gli amministratori di siti sono invitati ad applicare le patch di sicurezza il prima possibile e ad adottare misure di mitigazione aggiuntive per proteggere i propri siti web. La sicurezza delle piattaforme e-commerce è fondamentale per garantire la fiducia dei clienti e la continuità delle attività online.

Suggerimenti, soluzioni, consigli e best practice

• Tenere aggiornate le piattaforme e-commerce: Gli amministratori di siti dovrebbero mantenere aggiornate le loro piattaforme e-commerce alle versioni più recenti, che includono patch di sicurezza e miglioramenti delle prestazioni.
• Monitorare attivamente i siti web: Gli amministratori di siti dovrebbero monitorare attivamente i loro siti web alla ricerca di attività sospette, come tentativi di accesso non autorizzati o modifiche insolite al codice sorgente.
• Implementare misure di sicurezza aggiuntive: Gli amministratori di siti dovrebbero implementare misure di sicurezza aggiuntive, come l’autenticazione a due fattori, la limitazione delle richieste di accesso e la crittografia dei dati sensibili.
• Eseguire regolarmente backup: Gli amministratori di siti dovrebbero eseguire regolarmente backup dei loro siti web e dei dati associati, in modo da poter ripristinare rapidamente il sito in caso di emergenza.
• Collaborare con fornitori di sicurezza: Gli amministratori di siti dovrebbero collaborare con fornitori di sicurezza affidabili per ricevere avvisi sulle vulnerabilità emergenti e suggerimenti per la mitigazione.
• Formare il personale: Gli amministratori di siti dovrebbero formare il proprio personale sulle best practice di sicurezza e sulle procedure di risposta agli incidenti.
• Valutare i rischi: Gli amministratori di siti dovrebbero valutare regolarmente i rischi associati alle loro piattaforme e-commerce e adottare misure per mitigare tali rischi.
• Implementare la segmentazione della rete: Gli amministratori di siti dovrebbero implementare la segmentazione della rete per limitare l’accesso alle risorse critiche e ridurre il rischio di attacchi laterali.
• Utilizzare strumenti di monitoraggio della sicurezza: Gli amministratori di siti dovrebbero utilizzare strumenti di monitoraggio della sicurezza per rilevare e rispondere rapidamente alle minacce alla sicurezza.
• Gestire le credenziali di accesso: Gli amministratori di siti dovrebbero gestire le credenziali di accesso in modo sicuro, ad esempio utilizzando password complesse e crittografate, e limitando l’accesso alle risorse critiche solo al personale autorizzato.

Fonte: https://www.bleepingcomputer.com/news/security/cosmicsting-flaw-impacts-75-percent-of-adobe-commerce-magento-sites/