Интернет-магазин Cisco воровал номера банковских карт посетителей. Виновато ПО, написанное создателями Photoshop
Свою работу временно приостановил официальный интернет-магазин сувенирной продукции Cisco. Сайт электронной торговой площадки подвергся взлому со стороны неизвестных хакеров. Используя критическую уязвимость в платформе Adobe Commerce, зоумышленники внедрили в него JS-код, который позволяет незаметно красть данные банковских карт покупателей магазина Cisco.Магазин временно закрыт по техническим причинам
Официальный сувенирный онлайн-магазин Cisco подвергся хакерской атаке, в результате которой сайт превратился в инструмент для хищения сведений о банковских картах его посетителей, пишет Bleeping Computer.
Злоумышленники сумели встроить в код портала особый код на языке программирования JavaScript (JS), позволяющий собирать различные сведения, оставляемые покупателями в процессе совершения заказа.
Достоверно неизвестно, каким именно образом хакерам удалось получить доступ к инфраструктуре магазина, однако источник Bleeping Computer предполагает, что успех взломщиков обеспечила эксплуатация известной бреши CosmicSting.
Cisco Merchandise Store – фирменный интернет-магазин Cisco. На площадке продаются одежда, аксессуары и сувенирная продукция – посуда, бейсболки, портативные аккумуляторы, сумки, наклейки, игрушки – с атрибутикой компании.
Cisco – американская компания, поставщик сетевого оборудования для крупного бизнеса и телеком-отрасли. Помимо этого, занимается разработкой ПО в сфере информационной безопасности.
На момент публикации данного материала филиалы магазина Cisco в США, регионах EMEA (Европа, Ближний Восток и Африка), APJC (Япония, Китай) недоступны. При попытке перейти на сайт торговой площадки пользователя встречает сообщение: «Приносим свои извинения, мы кое-что обновляем» (“Aplogies, we’re just updating a few things”).
Атака во время уикенда
Основная часть программного кода, внедренного злоумышленниками в магазин Cisco, «подтягивается» со стороннего веб-ресурса, расположенного по адресу rextension.[net]. Соответствующий домен был зарегистрирован совсем недавно – 30 августа 2024 г. Как отмечает Bleeping Computer, этот факт свидетельствует о том, что сайт Cisco скорее всего был скомпрометирован в период выходных – с 31 августа по 1 сентября 2024 г.
Вредоносный JS-скрипт подвергся сильной обфускации со стороны авторов – его код запутан, а назначение малопонятно неспециалисту. Именно этого и добивались злоумышленники.
Bleeping Computer «расшифровали» отдельные фрагменты кода скрипта, в результате чего было установлено, что помимо платежных данных (номер карты, трехзначный код CVV, срок действия карты) тот способен похищать такие сведения о клиентах магазина Cisco как почтовый адрес, номер телефона, адрес электронной почты, а также учетные данные пользователя – логин и пароль.
Как отмечает издание, клиентами магазина сувенирной продукции Cisco, вероятно, являются преимущественно сотрудники американской корпорации. Вредоносный скрипт потенциально способен обеспечить злоумышленникам доступ к паролям от внутрикорпоративных учетных записей Cisco, что угрожает безопасности инфраструктуры компании.
Уязвимость CosmicSting
Под названием CosmicSting известна критическая (9,8 балла по шкале CVSS) уязвимость CVE-2024-34102 в Adobe Commerce (ранее – Magento), решении для предприятий сферы электронной коммерции. CosmicSting, обнаруженная в апреле 2024 г., относится к уязвимостям типа XXE (XML External Entity; инъекция внешних сущностей XML).
Согласно информации, опубликованной на сайте NIST, брешь позволяет злоумышленнику отправить на атакуемый ресурс специально подловленный документ формата XML, обработка которого на стороне сервера приведет к выполнению необходимого взломщику кода.
Уязвимости подвержен Adobe Commerce версий 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние.
Во начале второй декады июня 2024 г. Adobe выпустила устраняющие проблему патчи. По данным ИБ-компании Sansec, к 20 июня 2024 г. примерно 75% от числа всех магазинов, использующих Adobe Commerce, все еще оставались уязвимыми к CosmicSting.
Американская компания Adobe – известный разработчик программного обеспечения. В числе ее популярных продуктов растровый графический редактор Photoshop, векторный графический редактор Illustrator, софт для нелинейного видеомонтажа Premiere Pro и Acrobat – пакет инструментов для работы с документами в формате PDF.
Опасные бреши встречаются и ПО, разработанном самой Cisco. Так в октябре 2023 г. CNews писал об уязвимости CVE-2023-20198, которая затрагивала все устройства под управлением операционной системы Cisco IOS XE при условии, что в оболочке используется графический веб-интерфейс и включен режим HTTP/HTTPS-сервера. «Дыра» в системном ПО Cisco позволила хакерам установить вредоносные импланты на по меньшей мере 10 тыс. сетевых устройств компании.