El pasado 11 de junio, más de 4.000 tiendas online de Magento y AdobeCommerce -entre las que se encuentran marcas como Ray-Ban, National Geographic, Whirlpool y Segway-, sufrieron un ataque tecnológico por parte de hackers, que intentaron robar información de pago de los compradores en línea cuando realizaban pedidos.
Así lo afirmó Sunsec, firma de seguridad electrónica que brinda soporte a Magento, Adobe Commerce, WooCommerce, Shopware y otras plataformas. Los softwares de Magento y de Adobe Commercede fueron vulnerados a través de la publicación de CVE-2024-34102 (también conocida como CosmicSting) y, a pesar de las advertencias de Adobe y de los parches y actualizaciones que se han realizado desde el ataque, todavía son muchos las tiendas en línea que no han cambiado sus claves y siguen en peligro.
Con un ritmo de hackeo de 3 a 5 ataques por hora y afectando las versiones 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 y anteriores de Adobe Commerce, Sunsec califica este ataque como el peor error de las tiendas online en los últimos dos años.
La firma de seguridad explicó, que “La estrategia de ataque típica es robar su clave de encriptación secreta de app/etc/env.php y usarla para modificar sus bloques de CMS a través de la API de Magento. Luego, los atacantes inyectan Javascript malicioso para robar los datos de su cliente”.
Según los análisis de la empresa, este ataque malicioso ha afectado a 4.275 comerciantes, es decir, el 5% de todas las tiendas online que administran sus eCommerce a través de Adobe Commerce y Magento en el mundo.
También aseguró que al menos siete grupos de ciberdelincuentes están detrás de los ataques y han explotado la vulnerabilidad CosmicSting para implantar e-skimmers en los eCommerce de las víctimas. Estos e-skimmers son pasarelas de pagos falsas que se superponen en las pasarelas auténticas con la función de desviar los pagos de las compras o los cargos por suscripciones hacia las cuentas de los atacantes.
Pero más allá de los datos de pago, CosmicSting también puede ser usado para robar cualquier información del sitio comprometido, como los datos y credenciales de inicio de sesión de los clientes.
El 8 de julio, Adobe emitió una calificación de gravedad crítica, pero para ese entonces , ya se habían iniciado ataques automatizados y se habían robado miles de claves secretas de cifrado. Cuando las tiendas actualizaron sus sistemas, las claves secretas existentes no se invalidaron automáticamente, lo que dejó a las tiendas vulnerables a modificaciones no autorizadas.
Para ayudar a las tiendas online, Adobe publicó una guía sobre cómo eliminar manualmente las claves antiguas, una solución de seguridad oficial y aislada que se puede aplicar desde Magento 2.2.0 sin necesidad de actualizar, y que fue actualizada a mediados de septiembre. Pero no todos los comerciantes realizaron esta actualización.
Nos hemos puesto en contacto con la empresa, consultando sobre las medidas que está tomando con los eCommerce que aún sufren las consecuencias del ataque y respondió que “Se aconseja a los propietarios de tiendas de Adobe Commerce y Magento que actualicen sus instalaciones lo antes posible para aplicar las medidas adicionales que Adobe recomendó en julio”.
Anteriormente, Sansec ofrecía una solución de emergencia, pero desde la publicación de Adobe, la empresa de seguridad recomienda a las tiendas online que aunque ya la hayan aplicado, la reemplacen por el parche oficial de Adobe.
Por último, recomiendan usar un monitor de vulnerabilidad y malware para evitar cualquier ataque.
Foto: ChatGPT
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *
Δ