แฮกเกอร์ Inject JavaScript อันตรายลงใน Cisco store เพื่อขโมยข้อมูล
สรุปข้อมูล
พบ Cisco Merchandise Store ในสหรัฐอเมริกา ยุโรป เอเชียแปซิฟิก ญี่ปุ่น และจีน (APJC) ไม่สามารถใช้งานได้ เนื่องจากถูกแฮกเกอร์เจาะระบบด้วยโค้ด JavaScript เพื่อขโมยข้อมูลสำคัญของลูกค้า โดยตอนนี้ยังไม่ชัดเจนว่า JavaScript ที่เป็นอันตรายเข้ามาอยู่ในร้านค้าของ Cisco ได้อย่างไร
Cisco Merchandise Store เป็นร้านขายของขวัญที่จำหน่ายเสื้อผ้าและอุปกรณ์เสริม เช่น แก้วน้ำ ขวด ฝา พาวเวอร์แบงค์ กระเป๋า สติกเกอร์ ที่มีตราสินค้าของ Cisco
รายละเอียดช่องโหว่
ช่องโหว่ CosmicSting (CVE-2024-34102 CVSS 9.8 CRITICAL) เป็นช่องโหว่ใน Improper Restriction of XML External Entity Reference (XXE) ใน Adobe Commerce และ Magento Open Source เวอร์ชัน 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 และเวอร์ชันก่อนหน้ามีช่องโหว่ XML External Entity Reference ('XXE') ที่ทำให้แฮกเกอร์สามารถเรียกใช้โค้ดอันตราย ด้วยการส่งเอกสาร XML ที่สร้างขึ้นผ่านช่องโหว่เพื่อแทรกแซง Process ข้อมูลมาจาก XML ของ Application ที่มีการอ้างอิงไปยัง Entity ภายนอก ทำให้แฮกเกอร์สามารถดูไฟล์บนระบบของเซิร์ฟเวอร์ได้ โดยการโจมตีผ่านทางช่องโหว่ดังกล่าวไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน
ขั้นตอนการโจมตี
แฮกเกอร์จะทำการส่ง JavaScript อันตรายจากโดเมน rextension[.]net เพื่อฝัง JavaScript ดังกล่าวผ่านช่องโหว่ CosmicSting ลงในร้านค้าของ Cisco ซึ่งส่งผลกระทบต่อ Adobe Commerce (Magento) ทำให้แฮกเกอร์สามารถอ่านข้อมูลส่วนตัว และขโมยข้อมูลในระหว่างขั้นตอนการชำระเงิน เช่น รายละเอียดบัตรเครดิตที่จำเป็นสำหรับการชำระเงินออนไลน์ อีกทั้งยังสามารถขโมยเลขไปรษณีย์ หมายเลขโทรศัพท์ ที่อยู่อีเมล และข้อมูล Credentials ของผู้ใช้งาน
รูปที่ 1: แสดงให้เห็นว่า JavaScript ที่เป็นอันตรายถูก Injected เข้าไปในเว็บไซต์ Cisco Store
รูปที่ 2: แสดงตัวอย่างโค้ด JavaScript ที่เป็นอันตรายบนเว็บไซต์ Cisco Store ที่ทำหน้าที่ในการขโมยข้อมูลการชำระเงิน
ผลกระทบจากการโจมตี
จากข่าวดังกล่าวแสดงให้เห็นถึงผลกระทบที่ร้ายแรงต่อผู้ใช้งานและบริษัท Cisco Store เช่น ข้อมูลบัตรเครดิตและข้อมูลส่วนตัวของผู้ใช้งานถูกขโมย ซึ่งอาจทำให้เกิดความเสียหายทางการเงินและการหลอกลวง อีกทั้งยังสูญเสียความเชื่อมั่นในเว็บไซต์ Cisco และในผลิตภัณฑ์ของบริษัท
สรุปการโจมตี
การโจมตีที่เกิดขึ้นใน Cisco Store เกิดจากแฮกเกอร์แทรกโค้ด JavaScript ที่เป็นอันตรายลงในเว็บไซต์ โดยมุ่งเป้าไปที่การชำระเงินหรือหน้าล็อกอิน ซึ่งโค้ดที่แทรกเข้ามามีหน้าที่ดักจับข้อมูลบัตรเครดิตและข้อมูลส่วนตัวของผู้ใช้งานที่ทำการซื้อสินค้าหรือบริการผ่านเว็บไซต์
คำแนะนำ
- ฝึกอบรมและให้ความรู้แก่พนักงานให้ความรู้และฝึกอบรมพนักงานเกี่ยวกับการรักษาความปลอดภัยไซเบอร์และวิธีการป้องกันการโจมตี
- ทดสอบการเจาะระบบ (Penetration Testing) เพื่อค้นหาช่องโหว่
- อัปเดตระบบและซอฟต์แวร์ให้เป็นเวอร์ล่าสุด เพื่อป้องการโจมตีผ่านช่องโหว่
Indicators of Compromise (IoCs)
| Hackers inject malicious JS in Cisco store to steal credit cards, credentials | |
| Domain | rextension[.]net |
แหล่งอ้างอิง
Hxxps[:]//www[.]bleepingcomputer[.]com/news/security/hackers-inject-malicious-js-in-cisco-store-to-stealcredit-cards-credentials/
