Скиммер отработал на 100%: Cisco закрывает фирменный интернет-магазин
Домен злоумышленников появился в сети всего за 48 часов до обнаружения взлома.
Компания Cisco временно закрыла свой интернет-магазин с фирменной продукцией после того, как там был обнаружен вредоносный код, ворующий данные пользователей на этапе оформления заказа. Магазин, торгующий одеждой и аксессуарами с логотипом компании, подвергся атаке, в ходе которой злоумышленники смогли внедрить JavaScript, собирающий конфиденциальные данные.
Неизвестно, как именно вредоносный код попал на сайт, однако исследователи, пожелавшие остаться анонимными, считают, что атака была проведена с использованием уязвимости CosmicSting ( CVE-2024-34102 ), которая затрагивает платформу Adobe Commerce (Magento). Эта уязвимость позволяет злоумышленникам внедрять код в CMS-блоки, обрабатывающие процесс оформления заказа.
Магазины Cisco в США, Европе, а также Азиатско-Тихоокеанском регионе, включая Японию и Китай, были недоступны на момент написания новости. Вредоносный код распространялся с домена, зарегистрированного всего за два дня до того, как о проблеме стало известно общественности. Это предполагает, что атака произошла в течение прошлых выходных (31 августа – 1 сентября).
Специалисты обнаружили, что скрытый JavaScript собирает всю информацию, введённую пользователями на этапе покупки, включая данные кредитных карт, почтовые адреса, номера телефонов, адреса электронной почты и учётные данные пользователей.
Исследователи считают, что CosmicSting представляет серьёзную угрозу, так как уязвимость позволяет читать закрытую информацию через атаку на внешние XML-сущности. Основной целью злоумышленников было внедрение вредоносного кода в блоки HTML или JavaScript, отображаемые при завершении заказа.
Хотя магазин Cisco в основном используется сотрудниками компании для покупки сувениров и подарков, внедрённый код мог бы также скомпрометировать их учётные записи. Однако, по заявлению представителя Cisco, никакие данные сотрудников компании не были утрачены.
Cisco уведомила ограниченное количество пользователей, чьи данные могли быть затронуты. На данный момент сайт остаётся недоступным, а компания продолжает выяснять обстоятельства произошедшего и принимает меры для устранения угрозы.