Une semaine après la publication d’un correctif de sécurité critique, seulement un quart de tous les magasins Adobe Commerce et Magento ont été patchés.

CosmicSting (alias CVE-2024-34102) est le pire bug à affecter les magasins Magento et Adobe Commerce depuis deux ans. En soi, il permet à quiconque de lire des fichiers privés (tels que ceux contenant des mots de passe). Cependant, combiné avec le bug iconv récent dans Linux, il se transforme en un cauchemar de sécurité permettant l’exécution de code à distance. Ce bug critique donne un contrôle total aux adversaires et l’attaque peut être automatisée, ce qui pourrait entraîner des piratages massifs à l’échelle mondiale.

« It’s a bad one »

Son score de sévérité record de 9,8 sur le Common Vulnerability Scoring System (CVSS), une échelle de 10 points, a conduit à cette déclaration d’Adobe :

« C’est un mauvais bug et vous devriez appliquer le correctif. Il est probable que ce ne soit qu’une question de temps avant que quelqu’un ne publie une analyse et des étapes de reproduction. »

Adobe a publié un correctif pour les attaques CosmicSting la semaine dernière. Bien qu’Adobe n’ait naturellement pas partagé les détails de l’attaque, Sansec a pu reproduire l’attaque à partir du code du correctif. Nous pensons que les acteurs malveillants travaillent déjà sur la même chose.

Pour contexte : des problèmes de sécurité aussi critiques ne sont survenus que trois fois auparavant dans l’histoire de Magento :

• 2015 : attaque Shoplift
• 2019 : attaque Ambionics
• 2022 : attaque Trojan Order

À chacune de ces occasions, des dizaines de milliers de magasins ont été piratés, parfois en quelques heures. Il est donc vital de mettre à jour vos magasins dès que possible.

Préoccupations concernant la mise à niveau

Sansec, qui surveille les plates-formes de commerce électronique mondiales, a découvert que seulement 25 % des magasins ont été mis à niveau depuis la publication de la mise à jour de sécurité la semaine dernière. Un facteur compliquant est que la mise à jour de sécurité peut perturber la fonctionnalité de paiement existante. Adobe a rétroporté l’implémentation CSP/SRI imposée par le PCI de la version 2.4.7. Cela risque de perturber les scripts Javascript tiers et les scripts en ligne dans votre processus de paiement. Sansec recommande de passer en mode ‘Report-Only’ avant la mise à niveau. De cette façon, votre processus de paiement continuera de fonctionner, et vous disposerez d’un temps suffisant pour enquêter sur les modules incompatibles avant que les nouvelles exigences PCI ne prennent effet en avril 2025.

Il est également recommandé d’activer la surveillance CSP. Sansec propose un service de surveillance CSP gratuit que vous pouvez configurer en quelques minutes.

Emergency fix

Si vous ne pouvez en aucun cas effectuer la mise à niveau dans les prochains jours, il existe deux mesures d’urgence que vous pourriez mettre en œuvre dès aujourd’hui.

Tout d’abord, assurez-vous que les versions de vos serveurs Linux sont à jour (testez ici), ce qui atténuera certains (mais pas tous) des risques.

Deuxièmement, voici un correctif d’urgence que vous pouvez ajouter en haut de app/bootstrap.php. Il bloquera la majorité des attaques CosmicSting. Veuillez noter que nous fournissons ce correctif sans garantie.

if (strpos(file_get_contents('php://input'), 'dataIsURL') !== false) {
    header('HTTP/1.1 503 Service Temporarily Unavailable');
    header('Status: 503 Service Temporarily Unavailable');
    exit;
}