Интернет-магазин Cisco воровал номера банковских карт посетителей. Виновато ПО, написанное создателями Photoshop
Свою работу временно приостановил официальный интернет-магазин сувенирной продукции Cisco. Сайт электронной торговой площадки подвергся взлому со стороны неизвестных хакеров. Используя критическую уязвимость в платформе Adobe Commerce, зоумышленники внедрили в него JS-код, который позволяет незаметно красть данные банковских карт покупателей магазина Cisco.Магазин временно закрыт по техническим причинам
Официальный сувенирный онлайн-магазин Cisco подвергся хакерской атаке, в результате которой сайт превратился в инструмент для хищения сведений о банковских картах его посетителей, пишет Bleeping Computer.
Злоумышленники сумели встроить в код портала особый код на языке программирования JavaScript (JS), позволяющий собирать различные сведения, оставляемые покупателями в процессе совершения заказа.
Достоверно неизвестно, каким именно образом хакерам удалось получить доступ к инфраструктуре магазина, однако источник Bleeping Computer предполагает, что успех взломщиков обеспечила эксплуатация известной бреши CosmicSting.
Cisco Merchandise Store – фирменный интернет-магазин Cisco. На площадке продаются одежда, аксессуары и сувенирная продукция – посуда, бейсболки, портативные аккумуляторы, сумки, наклейки, игрушки – с атрибутикой компании.
Cisco – американская компания, поставщик сетевого оборудования для крупного бизнеса и телеком-отрасли. Помимо этого, занимается разработкой ПО в сфере информационной безопасности.
На момент публикации данного материала филиалы магазина Cisco в США, регионах EMEA (Европа, Ближний Восток и Африка), APJC (Япония, Китай) недоступны. При попытке перейти на сайт торговой площадки пользователя встречает сообщение: «Приносим свои извинения, мы кое-что обновляем» (“Aplogies, we’re just updating a few things”).
Атака во время уикенда
Основная часть программного кода, внедренного злоумышленниками в магазин Cisco, «подтягивается» со стороннего веб-ресурса, расположенного по адресу rextension.[net]. Соответствующий домен был зарегистрирован совсем недавно – 30 августа 2024 г. Как отмечает Bleeping Computer, этот факт свидетельствует о том, что сайт Cisco скорее всего был скомпрометирован в период выходных – с 31 августа по 1 сентября 2024 г.
Вредоносный JS-скрипт подвергся сильной обфускации со стороны авторов – его код запутан, а назначение малопонятно неспециалисту. Именно этого и добивались злоумышленники.
Bleeping Computer «расшифровали» отдельные фрагменты кода скрипта, в результате чего было установлено, что помимо платежных данных (номер карты, трехзначный код CVV, срок действия карты) тот способен похищать такие сведения о клиентах магазина Cisco как почтовый адрес, номер телефона, адрес электронной почты, а также учетные данные пользователя – логин и пароль.
Как отмечает издание, клиентами магазина сувенирной продукции Cisco, вероятно, являются преимущественно сотрудники американской корпорации. Вредоносный скрипт потенциально способен обеспечить злоумышленникам доступ к паролям от внутрикорпоративных учетных записей Cisco, что угрожает безопасности инфраструктуры компании.
Уязвимость CosmicSting
Под названием CosmicSting известна критическая (9,8 балла по шкале CVSS) уязвимость CVE-2024-34102 в Adobe Commerce (ранее – Magento), решении для предприятий сферы электронной коммерции. CosmicSting, обнаруженная в апреле 2024 г., относится к уязвимостям типа XXE (XML External Entity; инъекция внешних сущностей XML).
Как российские компании снижают риски зависимости от одного облачного провайдера?

Согласно информации, опубликованной на сайте NIST, брешь позволяет злоумышленнику отправить на атакуемый ресурс специально подловленный документ формата XML, обработка которого на стороне сервера приведет к выполнению необходимого взломщику кода.
Уязвимости подвержен Adobe Commerce версий 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние.
Во начале второй декады июня 2024 г. Adobe выпустила устраняющие проблему патчи. По данным ИБ-компании Sansec, к 20 июня 2024 г. примерно 75% от числа всех магазинов, использующих Adobe Commerce, все еще оставались уязвимыми к CosmicSting.

Американская компания Adobe – известный разработчик программного обеспечения. В числе ее популярных продуктов растровый графический редактор Photoshop, векторный графический редактор Illustrator, софт для нелинейного видеомонтажа Premiere Pro и Acrobat – пакет инструментов для работы с документами в формате PDF.
Опасные бреши встречаются и ПО, разработанном самой Cisco. Так в октябре 2023 г. CNews писал об уязвимости CVE-2023-20198, которая затрагивала все устройства под управлением операционной системы Cisco IOS XE при условии, что в оболочке используется графический веб-интерфейс и включен режим HTTP/HTTPS-сервера. «Дыра» в системном ПО Cisco позволила хакерам установить вредоносные импланты на по меньшей мере 10 тыс. сетевых устройств компании.