Alerta de seguridad: más de 4.000 tiendas online comprometidas por vulnerabilidad «CosmicSting» en Adobe Commerce

Investigadores de Sansec han alertado sobre la explotación de una grave vulnerabilidad en Adobe Commerce, identificada como CVE-2024-34102, que ha afectado a más de 4,000 tiendas online en los últimos tres meses. Con una puntuación CVSS de 9.8, «CosmicSting» permite a los atacantes acceder a archivos sensibles, incluyendo contraseñas, y desplegar e-skimmers en las plataformas afectadas.

Los hackeos se están produciendo a un ritmo alarmante de 3 a 5 por hora, con al menos siete grupos delictivos, como Bobry y Polyovki, aprovechando la brecha para robar información valiosa. Los investigadores han señalado que esta vulnerabilidad representa el error más grave en las plataformas de Magento y Adobe Commerce en dos años, afectando a marcas reconocidas como Ray-Ban, Segway y National Geographic.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) incluyó esta falla en su catálogo de vulnerabilidades explotadas en julio de 2024, instando a los comerciantes a tomar medidas inmediatas. Adobe había informado de la vulnerabilidad tras los ataques automatizados, ofreciendo pautas para mitigar el problema, aunque no todos los propietarios de tiendas las han seguido. Se recomienda encarecidamente a los comerciantes revisar sus sistemas y aplicar contramedidas para proteger la información de sus clientes.