기술 뉴스

CosmicSting 결함으로 Adobe Commerce, Magento 사이트의 75%가 영향을 받음

3 Min Read
Magento

Adobe Commerce와 Magento 웹사이트에 영향을 미치는 “CosmicSting”이라는 취약점은 보안 업데이트가 제공된 지 9일이 지났지만 여전히 대부분 패치되지 않은 상태로 남아 있어 수백만 개의 사이트가 치명적인 공격에 노출되어 있습니다.

Sansec의 통계에 따르면, 영향을 받은 전자상거래 플랫폼을 사용하는 웹사이트 4개 중 3개 정도가 CosmicSting에 대한 패치를 적용하지 않았으며, 이로 인해 XML 외부 엔티티 주입(XXE) 및 원격 코드 실행(RCE)의 위험에 노출됩니다.

Sansec은 “CosmicSting(일명 CVE-2024-34102)은 지난 2년 동안 Magento와 Adobe Commerce 매장을 강타한 최악의 버그”라고 말했습니다.

“그 자체로는 누구나 개인 파일(예: 비밀번호가 있는 파일)을 읽을 수 있습니다. 하지만 최근 리눅스의 iconv 버그와 결합하면 원격 코드 실행이라는 보안 악몽으로 변합니다.”

이 결함은 심각(CVSS 점수: 9.8) 등급을 받았으며 다음 제품 버전에 영향을 미칩니다.

  • Adobe Commerce 2.4.7 및 이전 버전(2.4.6-p5, 2.4.5-p7, 2.4.4-p8 포함)
  • Adobe Commerce 확장 지원 2.4.3-ext-7 및 이전 버전, 2.4.2-ext-7 및 이전 버전, 2.4.1-ext-7 및 이전 버전, 2.4.0-ext-7 및 이전 버전, 2.3.7-p4-ext-7 및 이전 버전.
  • Magento 오픈 소스 2.4.7 및 이전 버전(2.4.6-p5, 2.4.5-p7, 2.4.4-p8 포함)
  • Adobe Commerce Webhooks 플러그인 버전 1.2.0~1.4.0

Sansec은 Adobe가 적극적인 악용을 조장하지 않기 위해 보안 공지에 기술적인 세부 사항을 생략했음에도 불구하고 분석가들이 공격을 재현하는 데 사용한 패치 코드에서 효과적인 공격 방법을 쉽게 추론할 수 있다고 말했습니다.

Sansec은 효과적인 공격 경로를 추론하는 데 있어 심각성과 낮은 복잡성을 기반으로 CosmicSting이 “Shoplift”, “Ambionics”, “Trojan Order”와 함께 전자상거래 역사상 가장 파괴적인 공격 중 하나가 될 수 있는 모든 조건을 충족한다고 추정합니다.

지금 수정 또는 완화 조치를 적용하세요

공급업체는 다음 버전에 CVE-2024-34102에 대한 수정 사항을 릴리스했으며, 전자상거래 플랫폼 관리자는 가능한 한 빨리 이를 적용하는 것이 좋습니다.

  • 어도비 커머스 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
  • Adobe Commerce 확장 지원 2.4.3-ext-8, 2.4.2-ext-8, 2.4.1-ext-8, 2.4.0-ext-8, 2.3.7-p4-ext-8
  • Magento 오픈 소스 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
  • Adobe Commerce Webhooks 플러그인 버전 1.5.0
읽다  SolarWinds, Access Rights Manager 소프트웨어의 8가지 심각한 결함 패치

Sansec은 사이트 관리자가 체크아웃 기능을 중단시킬 수 있는 문제를 피하기 위해 업그레이드하기 전에 ‘보고서 전용’ 모드로 전환할 것을 권장합니다.

지금 당장 업그레이드할 수 없는 경우 다음 두 가지 조치를 취하시기 바랍니다.

먼저, 아래 명령을 사용하여 Linux 시스템이 CVE-2024-2961에 취약한 glibc 라이브러리를 사용하고 있는지 확인하고 필요에 따라 업그레이드합니다. 아래 명령은 C 소스 코드 파일을 다운로드하고 컴파일한 다음 컴퓨터에서 실행하여 취약한지 감지합니다.

curl -sO https://sansec.io/downloads/cve-2024-2961.c &&
gcc cve-2024-2961.c -o poc &&
./poc

다음으로, 대부분의 CosmicSting 공격을 차단하려면 ‘app/bootstrap.php’에 다음의 “긴급 수정” 코드를 추가해야 합니다.

if (strpos(file_get_contents('php://input'), 'dataIsURL') !== false) {
    header('HTTP/1.1 503 Service Temporarily Unavailable');
    header('Status: 503 Service Temporarily Unavailable');
    exit;
}

BleepingComputer에서는 해당 수정 프로그램을 테스트하지 않았으므로 효과나 안전성을 보장할 수 없습니다. 따라서 사용 시 모든 위험을 사용자가 부담해야 합니다.

당신도 좋아할 수도 있습니다

VEILDrive 공격, Microsoft 서비스를 악용하여 탐지를 회피하고 맬웨어 배포

SolarWinds 웹헬프데스크 결함, 이제 공격에 악용됨

Winos 4.0 악성 코드, 악성 게임 최적화 앱을 통해 게이머 감염

2023년에 공개된 악용된 결함의 70%는 제로데이였습니다.

한국, 민감한 사용자 데이터를 광고주와 불법 공유한 메타에게 1,567만 달러 벌금 부과

태그됨:
이 기사를 공유하세요
이전 기사 디지털 유로 디코딩: 잠재적인 새로운 지불 수단 디지털 유로 디코딩: 잠재적인 새로운 지불 수단
다음 기사 Rockwell Automation PanelView Plus Microsoft, Rockwell Automation PanelView Plus의 심각한 결함 발견
코멘트를 남겨주세요

최근 뉴스

Michael King
MLB 와일드카드 플레이오프 게임 1 요약: Padres, Royals, Mets & Tigers의 이점
스포츠 뉴스
Cardi B는 2024년 할로윈에 무엇을 입었나요? 의상 설명
Cardi B는 2024년 할로윈에 무엇을 입었나요? 의상 설명
문화뉴스
호텔에서 아파트로의 전환은 1,350만 달러 구매로 진행됩니다.
호텔에서 아파트로의 전환은 1,350만 달러 구매로 진행됩니다.
비즈니스 뉴스
정 친웬(Zheng Qinwen)이 자스민 파올리니(Jasmine Paolini)를 꺾고 WTA 결승 준결승에 진출했습니다.
정 친웬(Zheng Qinwen)이 자스민 파올리니(Jasmine Paolini)를 꺾고 WTA 결승 준결승에 진출했습니다.
스포츠 뉴스
The Voice UK의 Billy와 Louie Hughes는 노래로 학교 괴롭힘을 다뤘습니다.
The Voice UK의 Billy와 Louie Hughes는 노래로 학교 괴롭힘을 다뤘습니다.
문화뉴스
이탈리아 '리브라' 선박, 단 8명의 이민자를 태운 채 알바니아에 도착
이탈리아 ‘리브라’ 선박, 단 8명의 이민자를 태운 채 알바니아에 도착
소식
Lost your password?