Co to jest CosmicString?

CosmicString (CVE‑2024‑34102) to podatność zidentyfikowana na platformie Magento i Adobe Commerce, która pozwala atakującym na nieautoryzowany dostęp do danych sklepu. Jest to możliwe poprzez:

  • wykorzystanie technik SQL injection (metody wstrzyknięcia złośliwego kodu do zapytań SQL, aby uzyskać dostęp do chronionych danych),
  • obejścia uwierzytelniania (bypassing authentication; manipulacja procesem logowania, aby ominąć standardowe zabezpieczenia). 

Luka ta może skutkować ujawnieniem danych klientów lub modyfikacją treści witryny. Choć niekoniecznie oznacza pełną kontrolę nad serwerem, atak CosmicString niesie ze sobą poważne ryzyko dla bezpieczeństwa sklepów Magento, zwłaszcza jeśli nie są one regularnie aktualizowane.

Ataki z wykorzystaniem CosmicString mogą mieć na celu uzyskanie dostępu do poufnych informacji, takich jak dane klientów, historie zamówień czy nawet dane płatnicze. Mogą także powodować przeciążenie serwera lub, w najgorszym przypadku, wyłączenie sklepu. 

Kto jest zagrożony CosmicString?

Ataki są skierowane głównie na witryny o dużej ilości ruchu. Ryzyko jest szczególnie wysokie dla firm operujących w sektorze e-commerce dużą ilością danych, gdzie magazynowane są informacje na temat klientów, transakcji i produktów.

Na ataki CosmicString narażone są przede wszystkim sklepy oparte na starszych wersjach Magento, które mogą mieć luki związane z obsługą API i systemem autoryzacji. Ryzyko ataku znacznie wzrasta, jeśli sklep Magento nie jest regularnie aktualizowany lub został wdrożony z pominięciem najlepszych praktyk w zakresie bezpieczeństwa. Szczególnie podatne na ataki są też platformy korzystające z niecertyfikowanych wtyczek i nieaktualizowanych modułów.

Jak wygląda atak CosmicString?

Atak CosmicString jest zazwyczaj realizowany w kilku krokach:

  1. Skonstruowanie złośliwego żądania – Atakujący tworzy specjalne żądanie HTTP, które zawiera spreparowany kod wstrzykiwany bezpośrednio do formularzy lub innych pól wejściowych w systemie Magento.
  2. Omijanie autoryzacji – Dzięki wykorzystaniu podatności, atakujący omija autoryzację, zyskując możliwość uruchamiania komend na serwerze lub wywoływania nieautoryzowanych akcji (np. przeglądanie danych klientów).
  3. Wstrzykiwanie kodu – Atakujący wstrzykuje szkodliwy kod (najczęściej skrypt JavaScript lub PHP), który umożliwia mu wykonanie dalszych działań na serwerze, takich jak pobieranie danych, manipulacja kontami użytkowników lub kontrola nad działaniem całego sklepu.
  4. Dalsze działania – Po uzyskaniu dostępu, atakujący może przeprowadzać różne operacje, od kradzieży danych po wykorzystanie zasobów serwera do prowadzenia kolejnych ataków na inne witryny.

Jak zabezpieczyć sklep na Magento przed CosmicString?

Aktualizacja do najnowszej wersji Magento

Najprostszym i najskuteczniejszym sposobem ochrony przed CosmicString jest regularna aktualizacja Magento do najnowszej wersji. Każda nowa wersja Magento zawiera poprawki zabezpieczeń, które chronią przed znanymi zagrożeniami.

Wdrożenie Web Application Firewall (WAF)

Zastosowanie zapory WAF, która blokuje podejrzane żądania, jest skutecznym środkiem ochrony. WAF monitoruje ruch sieciowy i pozwala zablokować wszelkie próby wstrzyknięcia kodu, zanim dotrą one do serwera.

Ograniczenie dostępu do panelu administracyjnego

Zmiana domyślnego URL panelu administracyjnego oraz ograniczenie dostępu do panelu wyłącznie z wybranych adresów IP może znacznie zredukować ryzyko ataku. W ten sposób uniemożliwiamy nieautoryzowanym osobom dostęp do panelu zarządzania.

Zastosowanie dwuetapowej weryfikacji (2FA)

2FA zwiększa bezpieczeństwo, wymagając dodatkowego potwierdzenia logowania. To zabezpieczenie może uniemożliwić atakującemu dostęp, nawet jeśli uzyska hasło administratora.

Regularne audyty i skanowanie podatności

Regularne testy bezpieczeństwa i audyty e-commerce pozwalają na wykrycie potencjalnych zagrożeń i szybkie wdrożenie poprawek. Skanowanie podatności, np. przy użyciu narzędzi dedykowanych do Magento, może wykryć luki, zanim zostaną one wykorzystane przez atakującego.

Czytaj też: Audyt Magento

Potrzebujesz pomocy? Chętnie pomożemy!

Zabezpieczenie sklepu Magento przed atakami takimi jak CosmicString wymaga wiedzy technicznej i znajomości najlepszych praktyk z zakresu cyberbezpieczeństwa. Jako specjaliści od wdrożeń Magento, mamy wiedze i kompetencje w zakresie zabezpieczeń Magento Jeśli potrzebujesz wsparcia w ochronie swojego sklepu lub chcesz zlecić regularny monitoring bezpieczeństwa, skontaktuj się z nami! Podpowiemy, jak możemy Ci pomóc zapewnić bezpieczeństwo i spokój w zarządzaniu sklepem Magento.

Źródła: