Kritisk fejl i Adobe Commerce og Magento

Af Eskil Sørensen, 21/06/24

Score på 9,8

Der er fundet og rettet en sårbarhed, der har fået navnet "CosmicSting", i Adobe Commerce- og Magento. Selv om sikkerhedsopdateringen har været tilgængelig i knap to uger, viser en analyse, at 75 pct. af de websteder, der har produkter, ikke har håndteret sårbarheden endnu, hvilket gør ”millioner af websteder sårbare over for katastrofale angreb”.

Sådan formuleres det i Bleeping Computer, der har fundet de store gloser frem i omtalen af det, der kaldes den værste fejl, der har ramt Magento- og Adobe Commerce-webbutikker i to år.

Sårbarheden har id’et CVE-2024-34102, og med en score på 9,8 ligger den næsten så tæt på den maksimale score, som den kan komme. Sårbarheden gør det muligt for angribere at læse private filer, men i kombinationen med iconv-fejlen i Linux kan det ende med fjernafvikling af kode. 

Forensicsvirksomheden Sansec har efter sigende selv udviklet en exploit til udnyttelse af sårbarheden, men den er ikke offentlig tilgængelig. Det forventes dog, at trusselsaktører arbejder på sagen, og der inden længe vil være udnyttelser i gang. Effektive angrebsmetoder skal efter det oplyste let kunne udledes af patchkoden, hvilket er den tilgang Sansec har anvendt til at udvikle sin exploit.

Sansecs egne tal viser, at tre ud af fire websteder, der bruger de berørte e-handelsplatforme, ikke endnu har patchet til imødegåelse af CosmicSting, hvilket sætter dem i risiko for XML ekstern entitet injection (XXE) og fjernafvikling af kode (RCE).

Fejlen påvirker følgende produktversioner:

  • Adobe Commerce 2.4.7 og tidligere, inklusive 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
  • Adobe Commerce Extended Support 2.4.3-ext-7 og tidligere, 2.4.2-ext-7 og tidligere, 2.4.1-ext-7 og tidligere, 2.4.0-ext-7 og tidligere, 2.3.7-p4- ext-7 og tidligere.
  • Magento Open Source 2.4.7 og tidligere, inklusive 2.4.6-p5, 2.4.5-p7, 2.4.4-p8
  • Adobe Commerce Webhooks Plugin versioner 1.2.0 til 1.4.0

Sansec vurderer, at CosmicSting kan blive et af de mest skadelige angreb i e-handelshistorien sammen med "Shoplift", "Ambionics" og "Trojan Order."

Til dem der ikke kan opdatere deres systemer, er der udviklet et emergencyfix, som kan findes på Sansecs hjemmeside. 

Links:

https://www.bleepingcomputer.com/news/security/cosmicsting-flaw-impacts-75-percent-of-adobe-commerce-magento-sites/

https://sansec.io/research/cosmicsting

Keywords: 
sårbarheder