El dominio de los atacantes apareció en la red sólo 48 horas antes de que se descubriera el hack.
La empresa Cisco cerró temporalmente su tienda en línea con productos de la marca después de que se detectara un código malicioso que robaba datos de los usuarios en la fase de finalización del pedido. La tienda, que vende ropa y accesorios con el logotipo de la empresa, fue atacada, lo que permitió a los atacantes introducir un JavaScript que recopila datos confidenciales.
No se sabe cómo el código malicioso llegó al sitio web, pero los investigadores, que prefirieron permanecer en el anonimato, creen que el ataque se llevó a cabo utilizando la vulnerabilidad CosmicSting ( CVE-2024-34102 ), que afecta a la plataforma Adobe Commerce (Magento). Esta vulnerabilidad permite a los atacantes insertar código en los bloques de CMS que manejan el proceso de pago.
Las tiendas de Cisco en los EE. UU., Europa, así como en la región de Asia-Pacífico, incluidas Japón y China, no estaban disponibles en el momento de la publicación de la noticia. El código malicioso se distribuyó desde un dominio registrado solo dos días antes de que el problema se hiciera público, lo que sugiere que el ataque ocurrió durante el fin de semana pasado (31 de agosto - 1 de septiembre).
Los expertos descubrieron que el JavaScript oculto recopilaba toda la información introducida por los usuarios durante el proceso de compra, incluidos los datos de tarjetas de crédito, direcciones postales, números de teléfono, direcciones de correo electrónico y credenciales de los usuarios.
Los investigadores creen que CosmicSting representa una amenaza grave, ya que la vulnerabilidad permite leer información confidencial a través de un ataque a entidades XML externas. El objetivo principal de los atacantes era insertar código malicioso en los bloques de HTML o JavaScript que se muestran al finalizar el pedido.
Aunque la tienda de Cisco es utilizada principalmente por empleados de la empresa para la compra de recuerdos y regalos, el código insertado también podría haber comprometido sus cuentas. Sin embargo, según un portavoz de Cisco, no se ha perdido ningún dato de los empleados de la empresa.
Cisco notificó a un número limitado de usuarios cuyos datos podrían haber sido afectados. En este momento, el sitio web sigue inaccesible y la empresa continúa investigando los hechos y tomando medidas para eliminar la amenaza.