Sommario
CosmicSting (CVE-2024-34102) è considerato il peggior bug che ha colpito i negozi Magento e Adobe Commerce negli ultimi due anni. Questa vulnerabilità permette agli attaccanti di leggere file privati (come quelli contenenti password) e, in combinazione con il recente bug iconv in Linux, può portare all’esecuzione di codice remoto (RCE), dando pieno controllo agli avversari. Questo attacco può essere automatizzato, potenzialmente portando a massicce compromissioni a livello globale.
Dettagli della Vulnerabilità
- CVE: 2024-34102
- Tipo: XXE non autorizzato, RCE insieme a CVE-2024-2961
- Severità: CVSS 9.8
- Automatizzabile: Sì, senza interazione necessaria
- Exploit: Verificato da Sansec, non ancora pubblico
- Crediti: Scoperto da spacewasp
Contesto Storico
Nella storia di Magento, solo tre problemi di sicurezza di simile gravità sono stati riscontrati, e in ciascuna di queste occasioni, decine di migliaia di negozi sono stati compromessi nel giro di poche ore. Adobe ha rilasciato una patch per gli attacchi CosmicSting, ma solo il 25% dei negozi ha eseguito l’aggiornamento sin dal rilascio della sicurezza la settimana scorsa.
Problemi con l’aggiornamento
L’aggiornamento di sicurezza potrebbe causare problemi con la funzionalità di checkout esistente. Adobe ha retrodatato l’implementazione CSP/SRI imposta dal PCI dalla versione 2.4.7, che potrebbe rompere JavaScript di terze parti e script inline nel flusso di checkout. Sansec raccomanda di passare alla modalità ‘Report-Only’ prima di aggiornare, in modo che il checkout continui a funzionare e si abbia tempo sufficiente per verificare moduli incompatibili prima che i nuovi requisiti PCI entrino in vigore nell’aprile 2025. Si consiglia inoltre di abilitare il monitoraggio CSP, disponibile gratuitamente da Sansec.
Misure di emergenza
Se non è possibile eseguire l’aggiornamento nei prossimi giorni, ci sono due misure di emergenza che possono essere implementate immediatamente:
- Aggiornamento del Server Linux: Assicurarsi che le versioni del server Linux siano aggiornate per mitigare parte del rischio (test disponibile qui).
- Fix di Emergenza: Aggiungere il seguente codice all’inizio di
app/bootstrap.phpper bloccare la maggior parte degli attacchi CosmicSting:phpCopia codiceif (strpos(file_get_contents('php://input'), 'dataIsURL') !== false) { header('HTTP/1.1 503 Service Temporarily Unavailable'); header('Status: 503 Service Temporarily Unavailable'); exit; }
CosmicSting rappresenta una seria minaccia per i negozi Magento e Adobe Commerce. Gli amministratori devono agire rapidamente per applicare le patch di sicurezza e considerare misure di emergenza per proteggere i loro sistemi. La vigilanza e l’aggiornamento continuo sono cruciali per prevenire compromissioni e garantire la sicurezza delle informazioni sensibili.
