Новости Интернет-магазин Cisco воровал номера банковских карт посетителей.

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.789
Репутация
62.390
Реакции
276.952
RUB
0
Свою работу временно приостановил официальный интернет-магазин сувенирной продукции Cisco. Сайт электронной торговой площадки подвергся взлому со стороны неизвестных хакеров. Используя критическую уязвимость в платформе Adobe Commerce, зоумышленники внедрили в него JS-код, который позволяет незаметно красть данные банковских карт покупателей магазина Cisco.

Магазин временно закрыт по техническим причинам

Официальный сувенирный онлайн-магазин Cisco подвергся хакерской атаке, в результате которой сайт превратился в инструмент для хищения сведений о банковских картах его посетителей, пишет Bleeping Computer.

Злоумышленники сумели встроить в код портала особый код на языке программирования JavaScript (JS), позволяющий собирать различные сведения, оставляемые покупателями в процессе совершения заказа.

Достоверно неизвестно, каким именно образом хакерам удалось получить доступ к инфраструктуре магазина, однако источник Bleeping Computer предполагает, что успех взломщиков обеспечила эксплуатация известной бреши CosmicSting.

Cisco Merchandise Store – фирменный интернет-магазин Cisco. На площадке продаются одежда, аксессуары и сувенирная продукция – посуда, бейсболки, портативные аккумуляторы, сумки, наклейки, игрушки – с атрибутикой компании.

Cisco – американская компания, поставщик сетевого оборудования для крупного бизнеса и телеком-отрасли. Помимо этого, занимается разработкой ПО в сфере информационной безопасности.

На момент публикации данного материала филиалы магазина Cisco в США, регионах EMEA (Европа, Ближний Восток и Африка), APJC (Япония, Китай) недоступны. При попытке перейти на сайт торговой площадки пользователя встречает сообщение: «Приносим свои извинения, мы кое-что обновляем» (“Aplogies, we’re just updating a few things”).

Основная часть программного кода, внедренного злоумышленниками в магазин Cisco, «подтягивается» со стороннего веб-ресурса, расположенного по адресу rextension.[net]. Соответствующий домен был зарегистрирован совсем недавно – 30 августа 2024 г. Как отмечает Bleeping Computer, этот факт свидетельствует о том, что сайт Cisco скорее всего был скомпрометирован в период выходных – с 31 августа по 1 сентября 2024 г.

Вредоносный JS-скрипт подвергся сильной обфускации со стороны авторов – его код запутан, а назначение малопонятно неспециалисту. Именно этого и добивались злоумышленники.

Bleeping Computer «расшифровали» отдельные фрагменты кода скрипта, в результате чего было установлено, что помимо платежных данных (номер карты, трехзначный код CVV, срок действия карты) тот способен похищать такие сведения о клиентах магазина Cisco как почтовый адрес, номер телефона, адрес электронной почты, а также учетные данные пользователя – логин и пароль.

Как отмечает издание, клиентами магазина сувенирной продукции Cisco, вероятно, являются преимущественно сотрудники американской корпорации. Вредоносный скрипт потенциально способен обеспечить злоумышленникам доступ к паролям от внутрикорпоративных учетных записей Cisco, что угрожает безопасности инфраструктуры компании.

Под названием CosmicSting известна критическая (9,8 балла по шкале CVSS) уязвимость CVE-2024-34102 в Adobe Commerce (ранее – Magento), решении для предприятий сферы электронной коммерции. CosmicSting, обнаруженная в апреле 2024 г., относится к уязвимостям типа XXE (XML External Entity; инъекция внешних сущностей XML).

Согласно информации, опубликованной на сайте NIST, брешь позволяет злоумышленнику отправить на атакуемый ресурс специально подловленный документ формата XML, обработка которого на стороне сервера приведет к выполнению необходимого взломщику кода.

Уязвимости подвержен Adobe Commerce версий 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние.

Во начале второй декады июня 2024 г. Adobe выпустила устраняющие проблему патчи. По данным ИБ-компании Sansec, к 20 июня 2024 г. примерно 75% от числа всех магазинов, использующих Adobe Commerce, все еще оставались уязвимыми к CosmicSting.







 

В официальный магазин Cisco внедрили веб-скиммер.​


Сайт компании Cisco, на котором продается фирменный мерч, пришлось отключить из-за хакерской атаки. Злоумышленники внедрили на сайт JavaScript, который воровал конфиденциальные данные клиентов, указанные при оформлении заказа.

Официальный Cisco Merchandise Store представляет собой сувенирный магазин, в котором продается одежда и различные аксессуары под брендом Cisco (кружки, бутылки, кепки, сумки, наклейки, игрушки и так далее). Из-за атаки работа магазина Cisco в США, Европе и Азиатско-Тихоокеанском регионе, Японии и Китае была приостановлена.

Неизвестно, как именно вредоносный код проник в официальный магазин Cisco, но исследователи, пожелавшие остаться неизвестными, сообщили изданию , что хакеры эксплуатировали проблему в ( ), которая затрагивается сайты Adobe Commerce и Magento.

Эта XXE- и RCE-уязвимость позволяет злоумышленнику читать конфиденциальные данные и выполнять произвольный код. И, судя по всему, на момент атаки сайт Cisco работал под управлением Magento 2.4 (Enterprise).

Вредоносный JavaScript был сильно обфусцирован и доставлялся с домена rextension.[net], зарегистрированного 30 августа 2024 года, а сама атака, похоже, началась в следующие за этой датой выходные.



Целью скрипта был сбор данных, которые пользователи предоставляли в процессе оформления заказа (включая все реквизиты банковской карты). Также скрипт мог похищать дополнительную информацию, включая почтовый адрес, номер телефона, email-адрес и учетные данные пользователя.

Хотя магазин Cisco чаще использовался сотрудниками самой компании, которые приобретали там товары для себя и подарки, это тоже не слишком хорошая новость, так как это означает, что веб-скиммер позволял злоумышленникам похитить данные сотрудников Cisco.



Однако в конце прошлой неделе представители Cisco сообщили журналистам, что учетные данные сотрудников не пострадали:

«Нам известно о проблеме, связанной с сайтом для продажи товаров под маркой Cisco, который размещен и управляется сторонним поставщиком. Сайт был временно отключен в качестве меры предосторожности, пока мы решаем проблему, и мы уведомляем ограниченное число пользователей сайта, которые, по нашим данным, были затронуты этой проблемой. Учетные данные сотрудников не были скомпрометированы», — заявили в компании.


 
Сверху Снизу