Am 11. Juni 2024 veröffentlichte Adobe ein wichtiges Sicherheitsupdate für Adobe Commerce, Magento Open Source und das Adobe Commerce Webhooks Plugin. Das Update schließt kritische Sicherheitslücken, die bei erfolgreicher Ausnutzung zur Ausführung beliebigen Codes, zur Umgehung von Sicherheitsmechanismen und zur Eskalation von Benutzerrechten führen können. Diese Schwachstellen betreffen Versionen bis einschließlich 2.4.7 und früher, sowie einige ältere, von Kunden des Extended Support Program genutzte Versionen.
Eine Woche nach der Veröffentlichung der Sicherheitskorrektur berichtet Sansec Forensics Team am 18. Juni 2024 in Ihrem CosmicString Artikel, dass lediglich ein Viertel der betroffenen Adobe Commerce und Magento Shops gepatcht wurde. Diese Verzögerung beim Einspielen der Updates erhöht das Risiko eines massiven Angriffs, da 75 % der Shops weiterhin anfällig sind.
Besondere Aufmerksamkeit erhält die Schwachstelle CVE-2024-34102, bekannt als „CosmicSting“, welche von Sergey Temnikov (alias spacewasp) entdeckt wurde. Diese Sicherheitslücke, die eine XML External Entity (XXE)- und Remote Code Execution (RCE)-Attacke ermöglicht, weist einen CVSS-Score von 9.8 auf und gilt als eine der schwerwiegendsten Bedrohungen für Adobe Commerce und Magento Shops der letzten zwei Jahre. Ursprünglich erlaubte die Schwachstelle unbefugten Zugriff auf private Dateien, was in Verbindung mit einem kürzlich entdeckten Linux-Fehler (iconv) zur vollständigen Kontrolle über betroffene Systeme führen kann.
Die Angriffsmethode benötigt keine Benutzereingriffe und könnte automatisiert ausgeführt werden, was zu globalen Massenhacks führen könnte. Sansec hat die Angriffsmethode verifiziert und warnt, dass böswillige Akteure bereits aktiv daran arbeiten könnten, den Exploit zu nutzen.
Adobe hat für alle betroffenen Versionen entsprechende Patches bereitgestellt. Die Benutzer sollten ihre Systeme dringend auf die neuesten Versionen aktualisieren:
- Adobe Commerce: bis zu 2.4.7-p1
- Magento Open Source: bis zu 2.4.7-p1
- Adobe Commerce Webhooks Plugin: Version 1.5.0
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: