Criminelen zijn erin geslaagd om bijna vijfduizend webwinkels te compromitteren waarbij gebruik is gemaakt van een kritieke kwetsbaarheid in Adobe Commerce en Magento. Het gaat onder andere om webshops van Cisco, NatGeo, Segway, RayBan en Whirlpool, zo stelt securitybedrijf Sansec. Volgens het bedrijf is inmiddels één op de twintig Adobe Commerce-gebaseerde webshops getroffen.

Het beveiligingslek (CVE-2024-34102) betreft Improper Restriction of XML External Entity Reference ('XXE'). De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens Sansec gaat het om de grootste kwetsbaarheid waar webshops draaiend op Magento en Adobe Commerce de afgelopen twee jaar mee te maken hebben gekregen. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand toegang tot allerlei bestanden van de webshop krijgen, waaronder die met wachtwoorden.

Adobe kwam op 11 juni met beveiligingsupdates voor het probleem. Een week later verzocht het softwarebedrijf webshops om de patch zo snel mogelijk te installeren. Sansec stelt dat de 'secret keys' van waarschijnlijk alle webshops zijn gestolen die de update niet voor 25 juni hebben geïnstalleerd. Zolang de oude secret keys niet handmatig worden uitgeschakeld blijft de webshop kwetsbaar voor aanvallen waarbij aanvallers malware injecteren waarmee informatie van klanten is te stelen, zoals creditcardgegevens, aldus het securitybedrijf.

Zo kunnen aanvallers alle gegevens onderscheppen die op de betaalpagina worden ingevoerd. Deze gegevens worden vervolgens naar andere, kleinere gecompromitteerde webwinkels gestuurd. Deze webshops fungeren vermoedelijk als proxy om de gestolen data naar de uiteindelijke bestemming door te sturen, zo laat Sansec verder weten. Dat stelt ook dat inmiddels verschillende criminele groepen misbruik van het lek maken.