✔В официальный магазин Cisco внедрили веб-скиммер - «Новости»

Сайт компании Cisco, на котором продается фирменный мерч, пришлось отключить из-за хакерской атаки. Злоумышленники внедрили на сайт jаvascript, который воровал конфиденциальные данные клиентов, указанные при оформлении заказа.

Официальный Cisco Merchandise Store представляет собой сувенирный магазин, в котором продается одежда и различные аксессуары под брендом Cisco (кружки, бутылки, кепки, сумки, наклейки, игрушки и так далее). Из-за атаки работа магазина Cisco в США, Европе и Азиатско-Тихоокеанском регионе, Японии и Китае была приостановлена.

Неизвестно, как именно вредоносный код проник в официальный магазин Cisco, но исследователи, пожелавшие остаться неизвестными, сообщили изданию Bleeping Computer, что хакеры эксплуатировали проблему в CosmicSting (CVE-2024-34102), которая затрагивается сайты Adobe Commerce и Magento.

Эта XXE- и RCE-уязвимость позволяет злоумышленнику читать конфиденциальные данные и выполнять произвольный код. И, судя по всему, на момент атаки сайт Cisco работал под управлением Magento 2.4 (Enterprise).

Вредоносный jаvascript был сильно обфусцирован и доставлялся с домена rextension.[net], зарегистрированного 30 августа 2024 года, а сама атака, похоже, началась в следующие за этой датой выходные.

Целью скрипта был сбор данных, которые пользователи предоставляли в процессе оформления заказа (включая все реквизиты банковской карты). Также скрипт мог похищать дополнительную информацию, включая почтовый адрес, номер телефона, email-адрес и учетные данные пользователя.

Хотя магазин Cisco чаще использовался сотрудниками самой компании, которые приобретали там товары для себя и подарки, это тоже не слишком хорошая новость, так как это означает, что веб-скиммер позволял злоумышленникам похитить данные сотрудников Cisco.

Однако в конце прошлой неделе представители Cisco сообщили журналистам, что учетные данные сотрудников не пострадали: