Cisco’nun şirket temalı ürünler satan sitesi, ödeme sırasında sağlanan hassas müşteri bilgilerini çalan JavaScript koduyla hacker’ların siteyi tehlikeye atması nedeniyle şu anda kapalı ve bakım altında.
Cisco’nun şirket temalı ürünlerin satışını yapan sitesi, ödeme sırasında sağlanan hassas bilgileri çalan bir JavaScript kodu nedeniyle şu anda çevrimdışı ve bakım altında.
Kötü amaçlı JavaScript’in Cisco’nun deposuna nasıl ulaştığı henüz belli değil ancak anonim kalmak isteyen araştırmacılar, BleepingComputer’a bunun bir CosmicSting saldırısı (CVE-2024-34102) gibi göründüğünü söyledi.
Cisco Merchandise Store, Cisco markalı giyim ve aksesuarlar (kupalar, şişeler, kapaklar, powerbank’ler, çantalar, çıkartmalar, oyuncaklar) sağlayan bir hediyelik eşya dükkanıdır. Yazının yazıldığı tarihte, ABD, Avrupa ve Asya Pasifik, Japonya ve Çin (APJC) için Cisco mağazaları mevcut değildir.
Kredi kartlarını ve oturum açma bilgilerini çalmak
JavaScript oldukça karmaşıktır ve etki alanından teslim edilir uzatma.[net] BleepingComputer’ın saldırıyı öğrenmesinden iki gün önce, 30 Ağustos’ta kayıt altına alındı, bu da saldırının hafta sonu gerçekleştiğini gösteriyor.
Kötü amaçlı komut dosyası oldukça gizlidir ve amacı, çevrimiçi ödeme yapmak için gereken tüm kredi kartı bilgileri gibi ödeme işlemi sırasında sağlanan verileri toplamaktır.
BleepingComputer, betiğin bazı bölümlerini açığa çıkarmayı başardı ve bunun ayrıca posta adresi, telefon numarası, e-posta adresi ve kullanıcının oturum açma bilgileri de dahil olmak üzere mevcut ek bilgileri de çalabileceğini fark etti.
Saldırıyı keşfeden araştırmacılara göre, tehdit aktörü muhtemelen kötü amaçlı JavaScript’i Cisco’nun deposuna yerleştirmek için CosmicSting güvenlik açığını kullandı.
CosmicSting, Adobe Commerce (Magento) alışveriş platformunu etkileyen kritik öneme sahip bir güvenlik sorunudur. Bir saldırganın özel verileri okumasına izin veren bir XML harici varlık enjeksiyonudur (XXE).
Sansec’in kurucusu ve mimarı Willem de Groot, BleepingComputer’a yaptığı açıklamada, CosmicSting saldırısında tehdit aktörünün, ödeme akışında oluşturulan CMS bloklarına HTML veya JavaScript kodu enjekte etmeyi amaçladığını söyledi.
Cisco’nun mağazasının çoğunlukla kendileri için veya hediye olarak ürün satın alan çalışanlar tarafından kullanıldığı tahmin ediliyor; ancak kötü amaçlı komut dosyası saldırganların Cisco çalışanlarının kimlik bilgilerini toplamasına olanak tanıyabilir.
BleepingComputer, saldırı hakkında yorum almak için Cisco’ya ulaştı ancak yayın saati itibarıyla henüz bir yanıt alamadı.