网络安全研究人员透露，5% 的 Adob​​e Commerce 和 Magento 商店已被恶意行为者利用名为 CosmicSting 的安全漏洞进行攻击。

该严重漏洞的编号为CVE-2024-34102（CVSS 评分：9.8），与 XML 外部实体引用 (XXE) 漏洞的限制不当有关，可能导致远程代码执行。该漏洞由名为“ spacewasp ”的研究人员发现，并于 2024 年 6 月被 Adob​​e 修补。

荷兰安全公司 Sansec 将CosmicSting描述为“两年来袭击 Magento 和 Adob​​e Commerce 商店的最严重的漏洞”，并表示这些电子商务网站受到攻击的速度为每小时三到五个。

该漏洞此后遭到广泛利用，促使美国网络安全和基础设施安全局 (CISA) 在 2024 年 7 月中旬将其添加到已知利用漏洞 (KEV) 目录中。

其中一些攻击利用该漏洞窃取 Magento 的秘密加密密钥，然后使用该密钥生成具有完全管理 API 访问权限的 JSON Web 令牌 (JWT)。随后，威胁行为者被观察到利用 Magento REST API 注入恶意脚本。

这也意味着，仅仅应用最新的修复不足以抵御攻击，需要网站所有者采取措施轮换加密密钥。

2024 年 8 月观察到的后续攻击将 CosmicSting 与 CNEXT（CVE-2024-2961，GNU C 库（又名 glibc）内的 iconv 库中的漏洞）相结合，以实现远程代码执行。

Sansec指出：“CosmicSting（CVE-2024-34102）允许在未打补丁的系统上读取任意文件。当与 CNEXT（CVE-2024-2961）结合使用时，威胁行为者可以升级到远程代码执行，从而控制整个系统。”

这些攻击的最终目标是通过 GSocket 在主机上建立持久、隐蔽的访问，并插入恶意脚本，允许执行从攻击者那里收到的任意 JavaScript，以窃取用户在网站上输入的支付数据。

最新调查结果显示，雷朋、国家地理、思科、惠而浦和赛格威等多家公司都已成为 CosmicSting 攻击的受害者，至少有七个不同的团体参与了此类攻击 -

Bobry 小组使用空格编码来隐藏执行托管在远程服务器上的付款窃取器的代码
Polyovki 组，使用来自 cdnstatics.net/lib.js 的注入
Surki 组织，利用 XOR 编码隐藏 JavaScript 代码
布隆杜基组织 (Burunduki)，通过 wss://jgueurystatic[.]xyz:8101 的 WebSocket 访问动态 skimmer 代码
Group Ondatry使用自定义 JavaScript 加载恶意软件来注入虚假支付表单，模仿商户网站使用的合法支付表单
Khomyaki 组织将支付信息泄露到包含 2 个字符 URI（“rextension[.]net/za/”）的域名
Belki 组织利用 CosmicSting 和 CNEXT 植入后门和恶意软件
Sansec 表示：“强烈建议商家升级到最新版本的 Magento 或 Adob​​e Commerce。他们还应该轮换秘密加密密钥，并确保旧密钥失效。”

据观察，未知威胁行为者利用开源工具开展了针对全球政府和私营部门组织的疑似网络间谍活动。

Recorded Future 的 Insikt Group 正在以临时代号 TAG-100 跟踪该活动，并指出攻击者可能攻击了非洲、亚洲、北美洲、南美洲和大洋洲至少十个国家的组织，其中包括两个未具名的亚太政府间组织。

自 2024 年 2 月以来，柬埔寨、吉布提、多米尼加共和国、斐济、印度尼西亚、荷兰、台湾、英国、美国和越南的外交、政府、半导体供应链、非营利组织和宗教实体也被列入名单。

该网络安全公司表示：“TAG-100 采用开源远程访问功能，并利用各种面向互联网的设备获取初始访问权限。” “该组织使用了开源 Go 后门Pantegana和Spark RAT进行后利用。”

攻击链涉及利用影响各种面向互联网的产品的已知安全漏洞，包括 Citrix NetScaler、F5 BIG-IP、Zimbra、Microsoft Exchange Server、SonicWall、Cisco Adaptive Security Appliances (ASA)、Palo Alto Networks GlobalProtect 和 Fortinet FortiGate。

据观察，该组织还针对至少 15 个国家/地区的组织机构的互联网设备开展了广泛的侦察活动，其中包括古巴、法国、意大利、日本和马来西亚。其中还包括位于玻利维亚、法国和美国的几个古巴大使馆

该公司表示：“从 2024 年 4 月 16 日开始，TAG-100 针对教育、金融、法律、地方政府和公用事业领域的组织的 Palo Alto Networks GlobalProtect 设备进行了可能的侦察和利用活动。”

据称，此项努力与CVE-2024-3400 （CVSS 评分：10.0）的概念验证（PoC）漏洞的公开发布同时进行，CVE-2024-3400 是一个影响 Palo Alto Networks GlobalProtect 防火墙的严重远程代码执行漏洞。

成功进行初始访问后，将在受感染主机上部署 Pantegana、Spark RAT 和 Cobalt Strike Beacon。

研究结果表明，PoC 漏洞可以与开源程序相结合，从而策划攻击，有效降低不太熟练的威胁行为者的进入门槛。此外，此类伎俩还能让对手的归因工作变得复杂，并逃避检测。

Recorded Future 表示：“广泛瞄准面向互联网的设备尤其具有吸引力，因为它可以通过通常具有有限可视性、日志记录功能和对传统安全解决方案的支持的产品在目标网络中提供立足点，从而降低利用后检测的风险。”