Malas noticias para quienes compraron la sudadera con capucha de Cisco a principios de este mes. Un atacante que se cree tiene su base en Rusia inyectó JavaScript para robar datos en la tienda en línea del gigante de las redes, que vende productos de la marca Cisco.
Desde entonces, Cisco solucionó el problema causado por una falla en la plataforma Magento de Adobe. La falla podría haber permitido a los estafadores robar la información de la tarjeta de crédito de los compradores y otra información confidencial al momento de pagar.
“Los sitios web de productos de la marca Cisco alojados y administrados por proveedores externos se han desconectado temporalmente para abordar problemas de seguridad”, dijo un portavoz de Cisco a The Register.
“Después de la investigación, este problema sólo afecta a un número limitado de usuarios del sitio, y esos usuarios han sido notificados”, dijo el portavoz. “No se filtraron credenciales”.
En este caso particular, un atacante desconocido supuestamente aprovechó CVE-2024-34102, una vulnerabilidad crítica de nivel 9.8 en el software Adobe Magento. Esta vulnerabilidad es ampliamente utilizada por los sitios web de comercio electrónico y es un objetivo popular para los ladrones que buscan interceptar y robar datos de transacciones de consumidores desprevenidos. Estos exploits dirigidos a Magento se denominan colectivamente ataques Magecart.
El investigador Sergey Temnikov descubrió CVE-2024-34102, que expone los sistemas sin parches a riesgos de inyección de entidad externa XML (XXE) y ejecución remota de código (RCE). Informó del problema a Adobe y afirma que recibió una recompensa de 9.000 dólares por su descubrimiento.
Adobe solucionó la vulnerabilidad el 11 de junio, pero una semana después, la empresa de seguimiento del comercio electrónico Sansec informó que sólo el 25% de las tiendas habían actualizado su software. Mientras tanto, los delincuentes automatizaron sus ataques y se expandieron a miles de sitios, y surgieron múltiples exploits de prueba de concepto en GitHub y otros lugares.
La tienda de productos de Cisco era uno de los sitios sin parches y aparentemente estaba ejecutando Magento 2.4 (Enterprise) en el momento del ataque.
Según los investigadores de c/side que analizaron el código JS malicioso, estaba alojado en un dominio con una dirección IP rusa. La extensión del dominio(.)net/za/ se registró el 30 de agosto.
“Los registros recientes de este dominio son alarmantes, ya que pueden indicar una actividad temporal, destinada a una explotación rápida antes de ser abandonado”, señaló Himanshu Anand, c/side.
“Estos scripts confusos son difíciles de detectar sin un control profesional y son particularmente peligrosos tanto para los propietarios de sitios web como para sus clientes”, añadió. ®
https://packetstormsecurity.com/news/view/36313/Cisco-Merch-Shoppers-Stung-In-Magecart-Attack.html
