Site-ul Cisco pentru vânzarea de produse tematice ale companiei este în prezent offline și în întreținere din cauza hackerilor care l-au compromis cu cod JavaScript care fură detalii sensibile ale clienților furnizate la finalizarea comenzii.
Este neclar cum JavaScript-ul rău intenționat a ajuns pe magazinul Cisco, dar BleepingComputer a fost informat de către cercetători care doresc să rămână anonimi că pare să fie vorba de un atac CosmicSting (CVE-2024-34102).
Magazinul de produse Cisco este un magazin de cadouri care oferă articole vestimentare și accesorii cu marcă Cisco (căni, sticle, căciuli, baterii externe, genți, stickere, jucării). În momentul redactării acestui articol, magazinele Cisco din SUA, Europa și Asia-Pacific, Japonia și China (APJC) sunt indisponibile.
JavaScript-ul este puternic obfuscat și este livrat de pe domeniul rextension.[net] înregistrat la 30 august, cu două zile înainte ca BleepingComputer să afle de atac, ceea ce sugerează că compromiterea a avut loc în weekend.
Scriptul rău intenționat este puternic obfuscat și scopul său este de a colecta datele furnizate în timpul procesului de finalizare a comenzii, cum ar fi toate detaliile cardului de credit necesare pentru efectuarea plăților online.
BleepingComputer a reușit să deobfuscateze părți ale scriptului și a observat că acesta poate fura și orice alte informații disponibile, inclusiv adresa poștală, numărul de telefon, adresa de email și datele de autentificare ale utilizatorului.
Potrivit cercetătorilor care au descoperit atacul, actorul amenințării probabil a folosit vulnerabilitatea CosmicSting pentru a implanta JavaScript-ul rău intenționat în magazinul Cisco.
CosmicSting este o problemă de securitate de gravitate critică, care afectează platforma de comerț Adobe (Magento). Este o injectare de entități externe XML (XXE) care permite unui atacator să citească date private.
Într-un atac CosmicSting, actorul amenințării își propune să injecteze cod HTML sau JavaScript în blocurile CMS afișate în fluxul de finalizare a comenzii, a explicat Willem de Groot, fondator și arhitect la Sansec, pentru BleepingComputer.
Deși magazinul Cisco este probabil folosit în principal de către angajați pentru achiziționarea de produse pentru ei înșiși sau ca daruri, scriptul rău intenționat ar putea permite potențial atacatorilor să colecteze datele de autentificare ale angajaților Cisco.
BleepingComputer a contactat Cisco pentru comentarii despre atac, dar nu a primit un răspuns în momentul publicării acestui articol.
Leave a Reply