Şu anda Adobe Commerce (eski adıyla Magento) e-ticaret platformunu kullanan çevrimiçi mağazalara yönelik çok sayıda saldırı var. Sansec'in güvenlik uzmanları bu konuda uyarıyor.
Reklamcılık
CosmicSting (CVE-2024-34102) bir ay önce keşfedildi. Sansec'e göre, şu anda saatte üç ila beş çevrimiçi mağaza saldırıya uğruyor ve bunların arasında tanınmış uluslararası markalar da var. Sansec, tehlikeye atılan mağaza sayısının artmaya devam etmesini bekliyor. Uzmanlar ayrıca bu açığın Adobe'nin e-ticaret mağazalarının yüzde 75'ini etkilediğini varsayıyor.
API kötüye kullanımı
CosmicSting, saldırganların keyfi dosyalara erişmesine ve böylece Magento'nun gizli şifreleme anahtarını çalmasına olanak tanır. Bu anahtar, tam yönetim API erişimine izin veren JSON Web Token'ları (JWT) oluşturmak için kullanılabilir.
Sansec'e göre, Magento REST API saldırganların kötüye kullanabileceği çeşitli uç noktalar sunar. Örneğin, sahte siparişler POST /V1/orders aracılığıyla verilebilir ve müşterilerin kişisel bilgileri şu şekilde elde edilebilir: GET /V1/customers/{id} çalındı. Ancak, saldırganlar için en çekici olanlar /V1/cmsBlock-Son noktalar.
Sansec, bu güvenlik açığının geniş çaplı istismarında şu adımları gözlemledi: CosmicSting, encryption_key dışında app/etc/env.php Bir JWT oluşturmak için bir şifreleme anahtarı kullanılır. Mevcut CMS bloklarının bir listesi şu şekilde sağlanır: GET /V1/cmsBlock/search Tüm CMS bloklarına şu şekilde erişilir: PUT /V1/cmsBlock/{id} Her bloğun sonuna kötü amaçlı komut dosyaları eklenecek şekilde güncellendi.
Şifreleme anahtarını da değiştirin
Sansec, sistemlerinizi acilen güncellemenizi veya Adobe'nin birkaç gün önce yayınladığı resmi yamayı yüklemenizi önerir. Ancak, CosmicSting güvenlik açığını yamalamak tek başına yeterli değildir, çünkü çalınan şifreleme anahtarı saldırganların web belirteçleri üretmesine hala izin verir. Henüz yamalanmamış sistemlerin anahtarı da büyük olasılıkla tehlikeye girdiğinden, Adobe bunu manuel olarak da girmenizi önerir. app/etc/env.php güncellenecek.
Sansec, CMS bloklarındaki değişiklikleri görünür kılan denetim günlüklerini önerir. Günlükler sayesinde yönetici etkinlikleri ve sistem erişimi kaydedilebilir. Diğer şeylerin yanı sıra, güvenlik olayları geriye dönük olarak izlenebilir ve kötüye kullanım davranışları tespit edilebilir.
(Çatlak)
Reklamcılık
CosmicSting (CVE-2024-34102) bir ay önce keşfedildi. Sansec'e göre, şu anda saatte üç ila beş çevrimiçi mağaza saldırıya uğruyor ve bunların arasında tanınmış uluslararası markalar da var. Sansec, tehlikeye atılan mağaza sayısının artmaya devam etmesini bekliyor. Uzmanlar ayrıca bu açığın Adobe'nin e-ticaret mağazalarının yüzde 75'ini etkilediğini varsayıyor.
API kötüye kullanımı
CosmicSting, saldırganların keyfi dosyalara erişmesine ve böylece Magento'nun gizli şifreleme anahtarını çalmasına olanak tanır. Bu anahtar, tam yönetim API erişimine izin veren JSON Web Token'ları (JWT) oluşturmak için kullanılabilir.
Sansec'e göre, Magento REST API saldırganların kötüye kullanabileceği çeşitli uç noktalar sunar. Örneğin, sahte siparişler POST /V1/orders aracılığıyla verilebilir ve müşterilerin kişisel bilgileri şu şekilde elde edilebilir: GET /V1/customers/{id} çalındı. Ancak, saldırganlar için en çekici olanlar /V1/cmsBlock-Son noktalar.
Sansec, bu güvenlik açığının geniş çaplı istismarında şu adımları gözlemledi: CosmicSting, encryption_key dışında app/etc/env.php Bir JWT oluşturmak için bir şifreleme anahtarı kullanılır. Mevcut CMS bloklarının bir listesi şu şekilde sağlanır: GET /V1/cmsBlock/search Tüm CMS bloklarına şu şekilde erişilir: PUT /V1/cmsBlock/{id} Her bloğun sonuna kötü amaçlı komut dosyaları eklenecek şekilde güncellendi.
Şifreleme anahtarını da değiştirin
Sansec, sistemlerinizi acilen güncellemenizi veya Adobe'nin birkaç gün önce yayınladığı resmi yamayı yüklemenizi önerir. Ancak, CosmicSting güvenlik açığını yamalamak tek başına yeterli değildir, çünkü çalınan şifreleme anahtarı saldırganların web belirteçleri üretmesine hala izin verir. Henüz yamalanmamış sistemlerin anahtarı da büyük olasılıkla tehlikeye girdiğinden, Adobe bunu manuel olarak da girmenizi önerir. app/etc/env.php güncellenecek.
Sansec, CMS bloklarındaki değişiklikleri görünür kılan denetim günlüklerini önerir. Günlükler sayesinde yönetici etkinlikleri ve sistem erişimi kaydedilebilir. Diğer şeylerin yanı sıra, güvenlik olayları geriye dönük olarak izlenebilir ve kötüye kullanım davranışları tespit edilebilir.
(Çatlak)