Rus İstihbaratıyla İlişkili Ünlü Hackerlar NATO Müttefiklerini Hedef Aldı

03.10.2024

Siber güvenlik araştırmacıları, Adobe Commerce ve Magento mağazalarının yaklaşık %5'inin, CosmicSting olarak bilinen ciddi bir güvenlik açığını istismar eden siber suçlular tarafından ele geçirildiğini ortaya çıkardı. CVE-2024-34102 olarak izlenen bu güvenlik açığı, 9.8'lik kritik bir CVSS puanına sahip ve XML dış varlık referanslarının (XXE) hatalı kısıtlanmasından kaynaklanıyor. Bu durum, saldırganların uzaktan kod çalıştırmasına olanak tanıyabilir. Güvenlik açığı, "spacewasp" adlı bir araştırmacı tarafından keşfedildi ve Adobe tarafından Haziran 2024'te yamalandı, ancak istismar penceresi birçok siteyi savunmasız bıraktı.

E-ticaret güvenliği konusunda uzmanlaşmış Hollandalı siber güvenlik firması Sansec, CosmicSting'i "son iki yılda Magento ve Adobe Commerce mağazalarına çarpan en kötü hata" olarak nitelendirdi. Bulgulara göre, her saat üç ila beş mağaza kötü niyetli aktörlerin saldırısına uğruyor. Adobe Commerce ve Magento'nun çevrimiçi iş dünyasında yaygın olarak kullanılması, bu siber saldırıları daha da endişe verici hale getiriyor ve müşteri verileri ile işlemleri büyük bir risk altına sokuyor.

Bu saldırıların hızla yayılmasının ardından ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Temmuz 2024 ortasında CosmicSting'i Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Bu adım, güvenlik açığının ciddiyetini gösteriyor, çünkü dünya çapında aktif olarak istismar edilmeye devam ediyor. CISA'nın CosmicSting'i KEV kataloğuna dahil etmesi, çevrimiçi mağazalardaki güvenlik ihlallerini önlemek için bu açığın hızla ele alınmasının önemini vurguluyor.

Bazı durumlarda, saldırganlar CosmicSting'i kullanarak Magento'nun gizli şifreleme anahtarını çalmayı başardılar. Bu anahtar ile siber suçlular, hedef sistemde tam yönetici API erişimi sağlayan JSON Web Token'ları (JWT) oluşturabiliyorlar. Bu erişim, saldırganların Magento REST API'sini kullanarak platforma kötü amaçlı komut dosyaları enjekte etmelerini sağlıyor. Bu komut dosyaları, mağazayı daha fazla tehlikeye atmak için kullanılabilir ve hassas verilerin çalınmasına veya ek güvenlik açıklarının oluşmasına neden olabilir.

Durumu daha da kötüleştiren şey, araştırmacıların Ağustos 2024'te daha karmaşık saldırılar gözlemlemesi oldu. Tehdit aktörleri, CosmicSting'i, GNU C kütüphanesi (glibc) içindeki iconv kütüphanesinde bulunan başka bir güvenlik açığı olan CNEXT (CVE-2024-2961) ile birleştirerek uzaktan kod yürütme yeteneğine ulaşabiliyorlar. Bu kombinasyon, saldırganların dosya okuma yetkisinden tam uzaktan kod yürütme yetkisine yükselmelerini sağlayarak tüm sistemi ele geçirmelerine olanak tanıyor. Saldırganların nihai hedefi, GSocket gibi araçlar aracılığıyla kalıcı ve gizli erişim sağlamak ve kullanıcılar tarafından sitelere girilen ödeme verilerini çalmak için kötü amaçlı JavaScript komut dosyalarını enjekte etmek, bu da hem işletmeler hem de müşteriler için ciddi bir tehdit oluşturuyor.