Très récemment des cybercriminels ont réussi à tirer avantage des failles critiques de la solution Adobe Commerce : CosmicSting (CVE-2024-34102). Cette attaque a affecté les utilisateurs des versions cloud et locales de la solution, ainsi que ceux de Magento Open Source. Malgré les efforts d’Adobe, ces vulnérabilités ont conduit à des vols d’informations sensibles.
Puisque l’utilisation des solutions cloud se démocratise de plus en plus, il n’est pas rare que les cyberattaques se multiplient. Dans ce contexte, l’entreprise Adobe en a fait les frais il n’y a pas très longtemps. Selon Sansec, les cybergangs ont exploité deux failles majeures (CVE-2024-34102 et CVE-2024-2961) pour avoir directement accès aux serveurs d’Adobe Commerce afin d’y installer un « back door ».
Suite à cela, les informations de paiement de plusieurs clients ont été subtilisées. En réponse, Adobe a immédiatement recommandé aux utilisateurs de la version cloud et on-premise d’Adobe Commerce de prendre les mesures nécessaires pour stopper les attaques. Sansec rapporte que ces cyberattaques ont été orchestrées par sept groupes de pirates différents. Ces attaques soulignent la nécessité pour les entreprises de renforcer constamment leurs défenses face à des menaces de plus en plus sophistiquées.
Plusieurs clients Adobe Commerce victimes d’attaques numériques
Pour un expert en cybersécurité, qu’il soit freelance ou un salarié porté, les attaques de cybercriminels ne doivent pas être prises à la légère. En effet, selon Sansec, l’attaque dont a été victime Adobe Commerce a été réalisée grâce à la faille CosmicSting. Les cybercriminels ont usé de la faille CVE-2024-34102 et la faille CVE-2024-2961 pour atteindre directement les serveurs grâce à des codes informatiques. Le résultat est qu’environ 5% des sites sous Adobe Commerce ainsi que des milliers de marques ont été victimes. Nous pouvons citer par exemple: Segway, National Geographic ou encore Ray Ban.
Dans le rapport réalisé par Sansec, il semble que ce soit sept groupes de pirates informatiques différents qui ont profité des failles pour dérober des données sensibles de clients Adobe Commerce. Ayant pris connaissance des attaques, Adobe a averti ses clients et a commencé une campagne de correction. Ainsi, il a déjà publié des mises à jour et un patch isolé pour combler la faille.
Il est bon de noter que la solution connue sous le nom de Commerce a été avant cela connue sous le nom de Magento. A la base, c’était une plateforme open source qui aide les utilisateurs professionnels à créer des sites d’e-commerce opérationnel disposant de plusieurs fonctionnalités.
Magento a ensuite été racheté par Adobe et la plateforme a été intégrée dans sa solution Adobe Experience Cloud. C’est à partir de cette dernière qu’Adobe a conçu Adobe Commerce. En début d’année 2024, les sites web actifs dans l’outil numérique de l’entreprise étaient au nombre de 230 000. D’ailleurs, Sansec Forensics a déjà mis en garde Adobe sur la vulnérabilité CosmicSting de 75% de ces sites.
Les attaques Cosmicsting mettent à mal les sites e-commerce
Bien avant les attaques subies par Adobe, l’entreprise spécialisée en cybersécurité Sansec a déjà expliqué dans un blog les spécificités des attaques CosmicSting. La société a notamment expliqué que 3 à 5 boutiques sont généralement piratées en seulement une heure. De ce fait, tout acteur du secteur de l’e-commerce, commerçant ou salarié porté, doit colmater cette faille aussitôt que possible. Pour Sansec, le problème vient du fait que ces attaques CosmicSting sont à l’origine de bogues.
Ces bogues ont un indice de gravité de 9,8/10 selon les critères CVSS. Ils peuvent servir à obtenir n’importe quelles informations y compris les mots de passe ou encore d’autres données sensibles.
Le système de piratage est complexe et efficace comme l’explique Sansec :
« La stratégie d’attaque typique consiste à voler votre clé de chiffrement secrète dans app/etc/env.php et à l’utiliser pour modifier les blocs de votre CMS via l’API Magento. Ensuite, les attaquants injectent du Javascript malveillant pour voler les données de vos clients. Combiné à un autre bogue (CVE-2024-2961), les attaquants peuvent installer des portes dérobées »
Il est à rappeler que les versions Adobe Commerce et Magento open Source vulnérables sont :
- 4.7-p1 et antérieures ;
- 4.6-p6 et antérieures ;
- 4.5-p8 et antérieures ;
- 4.4-p9 et antérieures.
Les utilisateurs doivent donc prendre les mesures de sécurité appropriées dès maintenant.
