Le site de Cisco pour la vente de marchandises sur le thème de l’entreprise est actuellement hors ligne et en maintenance en raison de pirates informatiques qui le compromettent avec du code JavaScript qui vole les informations sensibles des clients fournies à la caisse.
Le site de Cisco pour la vente de marchandises sur le thème de l’entreprise est actuellement hors ligne et en maintenance en raison d’un compromis avec le code JavaScript qui vole les détails sensibles fournis à la caisse.
On ne sait pas comment le JavaScript malveillant a atterri sur le magasin de Cisco, mais Breachtrace a été informé par des chercheurs qui souhaitent rester anonymes qu’il semble s’agir d’une attaque cosmique (CVE-2024-34102).
La boutique de marchandises Cisco est une boutique de cadeaux qui propose des vêtements et des accessoires de marque Cisco (tasses, bouteilles, bouchons, banques d’alimentation, sacs, autocollants, jouets). Au moment de la rédaction du présent document, les magasins Cisco pour les États – Unis, l’Europe et l’Asie-Pacifique, le Japon et la Chine (APJC) ne sont pas disponibles.
Voler des cartes de crédit et des identifiants
Le JavaScript est fortement obscurci et est livré à partir de l’extension de domaine.[net] s’est enregistré le 30 août, deux jours avant que Breachtrace n’apprenne l’attaque, ce qui suggère que la compromission a eu lieu au cours du week-end.
Le script malveillant est fortement obscurci et son objectif est de collecter les données fournies lors du processus de paiement, telles que toutes les informations de carte de crédit requises pour effectuer des paiements en ligne.
Breachtrace a pu dérober des parties du script et a remarqué qu’il pouvait également voler toute information supplémentaire disponible, y compris l’adresse postale, le numéro de téléphone, l’adresse e-mail et les identifiants de connexion de l’utilisateur.
Selon les chercheurs qui ont découvert l’attaque, l’auteur de la menace a probablement utilisé la vulnérabilité CosmicSting pour implanter le code JavaScript malveillant dans le magasin de Cisco.
Cosmic String est un problème de sécurité de gravité critique, qui affecte la plate-forme d’achat Adobe Commerce (Magento). Il s’agit d’une injection d’entité externe XML (XXE) qui permet à un attaquant de lire des données privées.
Dans une attaque cosmique, l’auteur de la menace vise à injecter du code HTML ou JavaScript dans des blocs CMS rendus dans le flux de paiement, Willem de Groot, fondateur et architecte de Sansec, a expliqué à Breachtrace .
Alors que le magasin de Cisco est probablement principalement utilisé par les employés qui achètent la marchandise pour eux-mêmes ou comme cadeaux, le script malveillant pourrait potentiellement permettre aux attaquants de récolter les informations d’identification des employés de Cisco.
Breachtrace a contacté Cisco pour obtenir des commentaires sur l’attaque, mais n’a pas eu de nouvelles au moment de la publication.