资安业者Sansec针对Adobe本月发布的例行更新当中公布的重大漏洞CosmicSting(CVE-2024-34102)提出警告,这项资安弱点位于Adobe Commerce及Magento Open Source电商平台,继2年前Adobe修补CVE-2022-24086、CVE-2022-24087,Sansec认为,这是该平台出现最为严重的漏洞。
就漏洞本身带来的危害而言,CosmicSting可被攻击者用来读取含有密码等机密资料的档案,但研究人员指出,若是再结合Linux作业系统的GNU C程式库(glibc)的iconv功能漏洞CVE-2024-2961,攻击者就能发动远端程式码执行(RCE)攻击,从而取得电商平台的完整控制权。
值得留意的是,由于利用这样漏洞的过程无需使用者互动,攻击者可将相关流程自动化,很有可能演变为全球大规模攻击。
然而,在Adobe发布更新程式以来,仅有约25%电商网站套用,换言之,采用这种电商平台的环境恐有75%的比例,曝露于CosmicSting带来的资安风险。针对上述更新缓慢的原因,研究人员认为网站管理员不愿及时安装更新,主要在于Adobe自推出2.4.7版之后,因应支付卡产业资料安全标准(PCI DSS)的要求,导入了内容安全政策(Content Security Policy,CSP)及子资源完整性(Subresource Integrity,SRI)强制落实的要求,并移植到旧版分支,而使得新版软体有可能导致结帐流程采用的外部JavaScript指令码无法正常运作。
资安业者Sansec强调,攻击者可将CosmicSting与CVE-2024-2961搭配,造成强大的破坏力,但通报此事的研究人员Sergey Temnikov补充说明,在已修补iconv弱点的电商平台环境下,攻击者还是有机会借此存取管理者API。