Компанія Cisco, світовий лідер у галузі мережевих технологій, була змушена тимчасово закрити свій офіційний онлайн-магазин сувенірної продукції через серйозну кібератаку. Зловмисники успішно впровадили шкідливий JavaScript-код, який викрадав конфіденційні дані клієнтів під час оформлення замовлень.
Деталі інциденту та масштаби атаки
Cisco Merchandise Store, який пропонує широкий асортимент брендованої продукції, включаючи одяг, аксесуари та сувеніри, був атакований хакерами. Внаслідок цього інциденту компанія призупинила роботу магазину в США, Європі, Азіатсько-Тихоокеанському регіоні, Японії та Китаї. Хоча точний механізм проникнення шкідливого коду на сайт залишається невідомим, експерти з кібербезпеки вказують на можливу експлуатацію вразливості CVE-2024-34102 в системі управління контентом Magento.
Технічні аспекти вразливості та методи атаки
Вразливість, відома як CosmicSting, дозволяє зловмисникам здійснювати атаки типу XXE (XML External Entity) та RCE (Remote Code Execution). Це надає хакерам можливість читати конфіденційні дані та виконувати довільний код на сервері. Аналіз показав, що сайт Cisco працював на платформі Magento 2.4 (Enterprise Edition), яка виявилася вразливою до цієї атаки.
Шкідливий JavaScript-код був сильно обфускований та завантажувався з домену rextension.[net], зареєстрованого 30 серпня 2024 року. Атака, ймовірно, розпочалася у вихідні дні після цієї дати.
Цілі та потенційні наслідки атаки
Основною метою впровадженого скрипта був збір даних, які користувачі вводили під час оформлення замовлення. Це включало повні реквізити банківських карток, поштові адреси, номери телефонів, email-адреси та облікові дані користувачів. Особливе занепокоєння викликає той факт, що магазин часто використовувався співробітниками Cisco, що потенційно могло призвести до витоку внутрішньої інформації компанії.
Реакція Cisco та заходи безпеки
Представники Cisco оперативно відреагували на інцидент, тимчасово відключивши сайт як запобіжний захід. Компанія також розпочала процес повідомлення обмеженого кола користувачів, чиї дані могли бути скомпрометовані. Важливо відзначити, що, за офіційною заявою Cisco, облікові дані співробітників не були скомпрометовані під час цієї атаки.
Цей інцидент підкреслює важливість постійного моніторингу та оновлення систем безпеки навіть для технологічних гігантів. Організаціям рекомендується регулярно проводити аудит безпеки, своєчасно встановлювати оновлення та використовувати багаторівневий захист для запобігання подібним атакам. Користувачам варто бути пильними при здійсненні онлайн-покупок та використовувати додаткові засоби захисту, такі як віртуальні кредитні карти або системи безпечних платежів.
