O site da Cisco para venda de mercadorias temáticas da empresa está atualmente offline e em manutenção devido a hackers que comprometeram o site com código JavaScript que rouba detalhes sensíveis dos clientes fornecidos no checkout.
O site da Cisco para venda de mercadorias temáticas da empresa encontra-se, no momento, offline e em manutenção devido a um comprometimento com código JavaScript que rouba detalhes sensíveis fornecidos no checkout.
Ainda não está claro como o JavaScript malicioso foi parar na loja da Cisco, mas foi informado que aparenta ser um ataque CosmicSting (
CVE-2024-34102
).
A Cisco Merchandise Store é uma loja de presentes que fornece vestuário e acessórios com a marca Cisco (canecas, garrafas, bonés, powerbanks, bolsas, adesivos, brinquedos).
No momento, as lojas da Cisco nos EUA, Europa, Ásia-Pacífico, Japão e China (APJC) estão indisponíveis.
O script malicioso está fortemente ofuscado e seu propósito é coletar dados fornecidos durante o processo de checkout, como todos os detalhes do cartão de crédito necessários para realizar pagamentos online.
Segundo os pesquisadores que descobriram o ataque, o ator da ameaça provavelmente usou a vulnerabilidade CosmicSting para plantar o JavaScript malicioso na loja da Cisco.
CosmicSting é um problema de segurança de gravidade crítica, que afeta a plataforma de compras Adobe Commerce (Magento).
É uma injeção de entidade externa XML (XXE) que permite a um atacante ler dados privados.
Em um ataque CosmicSting, o ator da ameaça visa injetar código HTML ou JavaScript em blocos CMS renderizados no fluxo de checkout, explicou Willem de Groot, fundador e arquiteto da Sansec.
Embora a loja da Cisco seja provavelmente usada principalmente por funcionários que compram as mercadorias para si mesmos ou como presentes, o script malicioso poderia potencialmente permitir aos atacantes colher credenciais de funcionários da Cisco.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...