Magento 更 用户的重要 新
攻击是 PCI DSS 4.0 需要 eSkimming 控制的最新例证
作者：Source Defense

在快速发展的电子商务世界中，安全仍然是重中之重。作为我们持续致力于保护客户安全的承诺之一，我们将向您提供有关 Adob​​e Commerce (Magento) 的重要更新。此更新强调了在保护客户数据方面立即采取行动的迫切需要。这是几周内第二次披露大规模客户端攻击 – 这为 PCI 委员会将 eSkimming 控制添加到 PCI DSS 4.0 的决定提供了支持，并让人们意识到等待合规期限是一个冒险的决定。

最近检测到的安全威胁

在过去几天中，我们 手机号码数据 观察到多起针对使用 Adob​​e Commerce 的网站的客户端攻击。这些攻击源自页面上的第三方，利用了名为 CosmicSting (CVE-2024-34102) 的严重漏洞。此漏洞允许未经授权访问私人文件，包括包含密码等敏感信息的文件。当与 Linux 中最近的 iconv 错误相结合时，它会带来远程代码执行的风险。

Adobe 的关键安全修复

为了应对这些威胁，Adobe 发布 电话和通 话网站联系表 了关键安全修复程序来解决 CosmicSting 漏洞。我们强烈敦促所有 Adob​​e Commerce 用户立即应用此修复程序，以保护其网站免受潜在攻击。此修复程序的详细信息和下载可在 Adob​​e 网站上找到。

我们的回应和您的保护
我们已确定受这些攻击影响的网站。得益于我们先进的安全措施，Source Defense 能够保护我们的客户免受来自第三方的客户端攻击。具体来说，我们阻止了 skimmer 访问信用卡详细信息，并提醒我们的客户注意脚本试图将数据发送到的域。该域随后被添加到我们的黑名单中。

我们的一位客户的安全工程师评论道：“Source Defense 提供的数据对于我们了解这次攻击至关重要，它提供了我们无法从任何其他来源获得的见解。”

对主要公司的影响

此次攻击不分目标的规模 广告库 或行业。我们发现，大型公司也利用了相同的漏洞，其中包括一家市值 1800 亿美元的医疗制造商和一家市值 14 亿美元的全球制造商。此次攻击的广泛性凸显了迅速采取行动保护站点的重要性。

了解攻击向量

最近的攻击允许黑客将代码注入 HTML，而无需直接访问数据库。这可以通过从远程服务器调用脚本或将脚本嵌入为将数据发送到恶意域的第一方元素来实现。下图显示了攻击者如何将脚本添加到页面的示例以及使用的混淆代码的屏幕截图：

图片.png
图片.png
保护您的网站
最近的攻击凸显了采取强有力的安全措施来保护您的电子商务平台的必要性。值得注意的是，内容安全策略 (CSP) 无法阻止这些攻击，因为它们源自受信任的域。