Bleeping Computerは9月4日(米国時間)、「Hackers inject malicious JS in Cisco store to steal credit cards, credentials」において、米シスコシステムズの公式オンラインストア「Cisco Merchandise Store」に悪意のあるJavaScriptが設置されていたと報じた。同ストアはCiscoブランドのアパレル、アクセサリーなどを販売するギフトショップ。
攻撃の概要
発見された悪意のあるJavaScriptは、2024年8月30日に登録されたドメイン「rextension[.]net」から配信された。そのため、主な被害者は8月31日から9月1日までの休日に集中した可能性が高いと指摘されている。悪意のあるJavaScriptは高度に難読化されているが、分析によると支払い時に提供されるすべてのデータ(クレジットカード情報を含む)を窃取する機能があるとされる。
本稿執筆時点ではWebサイトの侵害方法は明らかになっていない。しかしながらBleeping Computerは匿名の研究者から、「CosmicSting」を悪用した可能性があるとの報告を受けたという。
CosmicStingは2024年6月に公開された緊急の脆弱性「CVE-2024-34102」のことで、Adobe Commerce バージョン2.4.7、2.4.6-p5、2.4.5-p7、2.4.4-p8およびこれ以前のバージョンなどに影響する。XML外部実体(XXE: XML External Entity)参照の不適切な制限の脆弱性により、攻撃者は細工したXMLドキュメントを送信することで任意のコードを実行可能とされる(参考:「Adobe Security Bulletin」)。
影響
Bleeping Computerによると、同ストアはCiscoの従業員によって贈答品を購入する目的で主に使用されていると考えられるという。そのため、外部への影響は限定的と推測されている。
同ストアは一時期閉鎖されており、同社は「復旧に向けて懸命に努力している」と説明していた。現在、米国、ヨーロッパ、アジア太平洋(APJC)のすべてのストアが再開されている。