Сайт компании Cisco, на котором продается фирменный мерч, пришлось отключить из-за хакерской атаки. Злоумышленники внедрили на сайт JavaScript, который воровал конфиденциальные данные клиентов, указанные при оформлении заказа.
Официальный Cisco Merchandise Store представляет собой сувенирный магазин, в котором продается одежда и различные аксессуары под брендом Cisco (кружки, бутылки, кепки, сумки, наклейки, игрушки и так далее). Из-за атаки работа магазина Cisco в США, Европе и Азиатско-Тихоокеанском регионе, Японии и Китае была приостановлена.
Неизвестно, как именно вредоносный код проник в официальный магазин Cisco, но исследователи, пожелавшие остаться неизвестными, сообщили изданию Bleeping Computer, что хакеры эксплуатировали проблему в CosmicSting (CVE-2024-34102), которая затрагивается сайты Adobe Commerce и Magento.
Эта XXE- и RCE-уязвимость позволяет злоумышленнику читать конфиденциальные данные и выполнять произвольный код. И, судя по всему, на момент атаки сайт Cisco работал под управлением Magento 2.4 (Enterprise).
Вредоносный JavaScript был сильно обфусцирован и доставлялся с домена rextension.[net], зарегистрированного 30 августа 2024 года, а сама атака, похоже, началась в следующие за этой датой выходные.
Целью скрипта был сбор данных, которые пользователи предоставляли в процессе оформления заказа (включая все реквизиты банковской карты). Также скрипт мог похищать дополнительную информацию, включая почтовый адрес, номер телефона, email-адрес и учетные данные пользователя.
Хотя магазин Cisco чаще использовался сотрудниками самой компании, которые приобретали там товары для себя и подарки, это тоже не слишком хорошая новость, так как это означает, что веб-скиммер позволял злоумышленникам похитить данные сотрудников Cisco.
Однако в конце прошлой неделе представители Cisco сообщили журналистам, что учетные данные сотрудников не пострадали:
«Нам известно о проблеме, связанной с сайтом для продажи товаров под маркой Cisco, который размещен и управляется сторонним поставщиком. Сайт был временно отключен в качестве меры предосторожности, пока мы решаем проблему, и мы уведомляем ограниченное число пользователей сайта, которые, по нашим данным, были затронуты этой проблемой. Учетные данные сотрудников не были скомпрометированы», — заявили в компании.