В начале сентября стало известно о «громком» взломе. Хакеры атаковали официальный сувенирный интернет-магазин компании Cisco — известного американского разработчика сетевого оборудования. В результате атаки злоумышленники, возможно, смогли получить все данные покупателей: номера банковских карт, почтовые адреса, телефоны, а также логины и пароли для доступа к Cisco Merchandise Store.
Как хакеры получили доступ к данным
Сувенирный магазин компании Cisco работает на платформе Adobe Commerce. В декабре 2023 года в коде платформ семейства Magento / Adobe Commerce багхантер Сергей Темников нашёл критическую уязвимость, которая получила название CosmicSting. Переводится как «космическое жало» или «космический укус», а никнейм Темникова Spacewasp означает «космическая оса».
Уязвимость CosmicSting позволяет злоумышленникам прочитать любой файл на платформе управления интернет-магазином. Атака начинается с того, что хакеры крадут ключ шифрования платформы Magento. Он позволяет получить полный административный доступ к API магазина и модифицировать файлы: читать данные о заказах и клиентах, размещать поддельные заказы, встраивать на странице собственные рекламные баннеры и так далее.
В июне 2024 года после внутренней проверки Adobe признала наличие данной уязвимости. Она оказалась критической и получила 9,8 балла из 10 возможных по шкале CVSS. Компания выпустила патч и инструкцию по устранению проблемы для интернет-магазинов. В частности, предлагалось сгенерировать и вручную обновить ключ шифрования. Если он был украден ранее, хакеры могли бы получить доступ к системе даже после установки патча.
Почему магазин оказался без защиты
Скорее всего, из-за невнимательности. Компания SANSEC, которая специализируется на обеспечении безопасности для e-commerce, установила, что в течение недели после выхода патча его установили только 25% интернет-магазинов по всему миру. Учитывая популярность платформы Adobe Commerce, речь идёт о более 140 000 магазинов с наличием уязвимости.
12 июля, то есть на следующий день после выхода официального сообщения о CosmicSting, SANSEC зафиксировала массовые атаки. Взломам подвергались от 3 до 5 магазинов в час. Среди пострадавших — крупные международные бренды.
Дальнейшие атаки происходили в основном в выходные дни, когда у большинства компаний снижена активность мониторинга. Например, магазин мерча Cisco взломали тоже в выходной день.
Точная сумма ущерба во всех случаях не раскрывается. По оценкам, он может составлять миллионы долларов. Так, филиалы интернет-магазина Cisco в США, регионах EMEA (в Европе, на Ближнем Востоке и в Африке), APJC (в Японии, Китае) на некоторое время приостановили работу с сообщением «Извините, мы кое-что обновляем». Кроме финансовых потерь, компании могут понести и репутационные. Клиентами Cisco Merchandise Store были в основном сотрудники компании и члены их семей.
Какие уроки можно извлечь из этой истории
- Перед кибератаками могут быть уязвимы компании любого размера, но известные названия всегда более привлекательны. При этом атаку могут провести на небольшой филиал или дочернюю компанию, которые менее защищены, а пострадает в итоге основной бренд.
- Хакеры обычно активнее изучают новости о появлении уязвимостей и стараются быстро протестировать тех, кто мог не отреагировать вовремя.
А конкретные действия?
Руководитель центра сервисов кибербезопасности МТС Red Андрей Дугин даёт компаниям следующий совет:
«Учитывая технические аспекты реализации атаки, для избежания подобных ситуаций необходимо:
1. Управление уязвимостями, когда наиболее критичные патчи производителя тестируются и устанавливаются на системы, в первую очередь открытые для доступа из интернета.
2. Защищать веб-интерфейс с помощью Web Application Firewall. Зачастую с его помощью можно быстрее защититься от подобных атак, чем производитель выпустит патч».
Также можно:
- учить сотрудников правильно реагировать во внештатных ситуациях и не поддаваться фишингу. Подробнее в материале «Киберучения бизнеса. Как и для чего их проводят»;
- иметь кризисный план на случай сбоев. Например, настроить резервное копирование. Другие варианты действий и рассказ об атаках вирусов-шифровальщиков в статье «Упал — поднялся. Как быстро восстановить бизнес после кибератак»;
- изучать основные популярные векторы кибератак, чтобы усилить защиту в определённых направлениях. О том, что «модно» у хакеров в 2024-м, писали на СберПро в материале «Цифровая броня: основные стратегии информационной безопасности для крупного бизнеса».