ไซต์ของ Cisco ที่ใช้ขายสินค้าธีมบริษัทกำลังอยู่ในสถานะออฟไลน์และอยู่ระหว่างการบำรุงรักษา เนื่องจากถูกผู้ไม่ประสงค์ดีเจาะระบบด้วยโค้ด JavaScript ที่ขโมยข้อมูลลูกค้าสำคัญที่กรอกในขั้นตอนการชำระเงิน
เว็บไซต์ของ Cisco สำหรับการขายสินค้าธีมบริษัทกำลังออฟไลน์และอยู่ระหว่างการบำรุงรักษา เนื่องจากถูกเจาะระบบด้วยโค้ด JavaScript ที่ขโมยข้อมูลสำคัญในขั้นตอนการชำระเงิน
ยังไม่ชัดเจนว่าโค้ด JavaScript ที่เป็นอันตรายนี้เข้ามาในร้านค้าของ Cisco ได้อย่างไร แต่ BleepingComputer ได้รับการบอกเล่าจากผู้เชี่ยวชาญด้านความปลอดภัยที่ไม่ประสงค์จะออกนามว่าดูเหมือนว่าจะเป็นการโจมตีแบบ CosmicSting (CVE-2024-34102)
Cisco Merchandise Store เป็นร้านขายของที่ระลึกที่มีสินค้าประดับแบรนด์ Cisco เช่น เสื้อผ้าและเครื่องประดับ (แก้วน้ำ ขวดน้ำ หมวก พาวเวอร์แบงค์ กระเป๋า สติ๊กเกอร์ ของเล่น) ณ ขณะนี้ ร้านค้า Cisco ในสหรัฐอเมริกา ยุโรป และภูมิภาคเอเชียแปซิฟิก ญี่ปุ่น และจีน (APJC) ไม่สามารถเข้าถึงได้ ขโมยบัตรเครดิตและข้อมูลการเข้าสู่ระบบ โค้ด JavaScript นี้มีการเข้ารหัสซับซ้อนและถูกส่งมาจากโดเมน rextension.[net] ที่ลงทะเบียนเมื่อวันที่ 30 สิงหาคม สองวันก่อนที่ BleepingComputer จะทราบถึงการโจมตี ซึ่งแสดงให้เห็นว่าการเจาะระบบเกิดขึ้นในช่วงสุดสัปดาห์
สคริปต์ที่เป็นอันตรายนี้มีการเข้ารหัสซับซ้อนสูงและมีวัตถุประสงค์เพื่อรวบรวมข้อมูลที่กรอกในขั้นตอนการชำระเงิน เช่น รายละเอียดบัตรเครดิตทั้งหมดที่จำเป็นสำหรับการชำระเงินออนไลน์
BleepingComputer สามารถถอดรหัสส่วนหนึ่งของสคริปต์และพบว่ามันสามารถขโมยข้อมูลเพิ่มเติมอื่น ๆ ได้ด้วย รวมถึงที่อยู่ไปรษณีย์ หมายเลขโทรศัพท์ ที่อยู่อีเมล และข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้
ตามที่นักวิจัยที่ค้นพบการโจมตีนี้ ระบุว่าผู้โจมตีมีแนวโน้มใช้ช่องโหว่ CosmicSting ในการฝังโค้ด JavaScript ที่เป็นอันตรายลงในร้านค้าของ Cisco
CosmicSting เป็นปัญหาด้านความปลอดภัยที่มีความรุนแรงระดับวิกฤติ ซึ่งส่งผลกระทบต่อแพลตฟอร์มการช้อปปิ้ง Adobe Commerce (Magento) มันเป็นการโจมตีแบบ XML External Entity Injection (XXE) ที่ช่วยให้ผู้โจมตีสามารถอ่านข้อมูลส่วนตัวได้
ในการโจมตีแบบ CosmicSting ผู้โจมตีมีเป้าหมายที่จะฝังโค้ด HTML หรือ JavaScript ในบล็อก CMS ที่แสดงผลในขั้นตอนการชำระเงิน Willem de Groot ผู้ก่อตั้งและสถาปนิกที่ Sansec อธิบายกับ BleepingComputer
แม้ว่าเว็บไซต์ของ Cisco จะถูกใช้โดยพนักงานส่วนใหญ่ในการซื้อสินค้าสำหรับตัวเองหรือเป็นของขวัญ สคริปต์ที่เป็นอันตรายอาจทำให้ผู้โจมตีสามารถเก็บข้อมูลรับรองการเข้าสู่ระบบของพนักงาน Cisco ได้
BleepingComputer ได้ติดต่อ Cisco เพื่อขอความคิดเห็นเกี่ยวกับการโจมตีนี้ แต่ยังไม่ได้รับการตอบกลับในเวลาที่ตีพิมพ์ข่าวนี้
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น