.
Más notícias para quem comprou um moletom da Cisco no início deste mês: supostos invasores baseados na Rússia injetaram JavaScript para roubo de dados na loja online da gigante de redes que vende produtos da marca Cisco.
Desde então, a Cisco corrigiu o problema causado por uma falha na plataforma Magento da Adobe, que poderia permitir que criminosos roubassem detalhes de cartão de crédito e outras informações confidenciais dos compradores no momento do pagamento.
“Um site de produtos da marca Cisco, hospedado e administrado por um fornecedor terceirizado, foi temporariamente retirado do ar enquanto um problema de segurança era resolvido”, disse um porta-voz da Cisco. O Registro.
“Com base em nossa investigação, o problema impactou apenas um número limitado de usuários do site, e esses usuários foram notificados”, disse o porta-voz. “Nenhuma credencial foi comprometida.”
Neste caso em particular, o(s) invasor(es) desconhecido(s) supostamente exploraram CVE-2024-34102, uma vulnerabilidade crítica, com classificação 9.8, no software Adobe Magento, amplamente usado por sites de comércio eletrônico e um alvo favorito para ladrões que buscam interceptar e roubar dados de transações de consumidores desavisados. Esses tipos de exploits direcionados ao Magento são chamados coletivamente de ataques Magecart.
O CVE-2024-34102, que coloca sistemas sem patches em risco de injeção de entidade externa XML (XXE) e execução remota de código (RCE), foi detectado pelo pesquisador Sergey Temnikov, que afirma ter relatado o problema à Adobe e recebido uma recompensa de US$ 9.000 por essa descoberta.
A Adobe corrigiu a falha em 11 de junho, mas uma semana depois, a empresa de monitoramento de comércio eletrônico Sansec relatou que apenas 25% das lojas haviam atualizado seu software. Enquanto isso, os criminosos automatizaram o ataque para escalar para milhares de sites, e vários exploits de prova de conceito surgiram no GitHub e em outros lugares.
Parece que a loja de produtos da Cisco era um desses sites não corrigidos e, no momento do ataque, estava executando o Magento 2.4 (Enterprise).
De acordo com pesquisadores do c/side que analisaram o código JS malicioso, ele estava hospedado em um domínio com um endereço IP baseado na Rússia. O domínio, extensão[.]net/za/, foi registrado em 30 de agosto.
“O registro recente do domínio levanta suspeitas, pois pode indicar uma operação clandestina projetada para exploração rápida antes de ser abandonada”, observou Himanshu Anand, do c/side.
“Scripts ofuscados como esses são difíceis de detectar sem monitoramento especializado, o que os torna especialmente perigosos tanto para os proprietários de sites quanto para seus clientes”, acrescentou. ®
.
