Эксперты по кибербезопасности зафиксировали несколько независимых волн активных атак, нацеленных на критическую уязвимость в популярной платформе электронной коммерции Magento. Уязвимость, получившая идентификатор CVE-2025-54236 и название SessionReaper, позволяет злоумышленникам обходить аутентификацию, что привело к полному захвату более двух сотен веб-сайтов по всему миру и установке вредоносных веб-оболочек для сохранения доступа.
Описание
Как выяснила исследовательская группа Oasis Security, уязвимость заключается в ошибке обработки сессионных токенов. Атакующие могут перехватывать и повторно использовать токены сеансов, которые некорректно аннулируются системой. Этот метод, известный как hijacking (угон сессии), предоставляет злоумышленникам несанкционированный доступ к учетным записям администраторов Magento, открывая путь к полному контролю над сервером.
Первая крупная кампания, отслеженная аналитиками, характеризовалась агрессивным массовым сканированием и эксплуатацией. Злоумышленники, управляющие своей инфраструктурой с командного сервера (C2) в Финляндии (IP: 93.152.230[.]161), провели масштабный поиск уязвимых конечных точек. В результате им удалось идентифицировать более 1460 уязвимых API Magento Commerce, что подробно задокументировано в их собственном файле "success_api_2025.txt". Эксплуатация уязвимости привела к полной компрометации 216 веб-сайтов. Критическим индикатором успеха атаки стало извлечение злоумышленниками чувствительных системных файлов, таких как "/etc/passwd", что однозначно свидетельствует о получении ими привилегий суперпользователя (root-доступа). Следовательно, атакующие получили неограниченный контроль над операционной системой хостинга.
Параллельно была обнаружена другая, независимая операция, нацеленная на конкретные географические регионы. В данном случае инфраструктура управления, расположенная в Гонконге (IP: 115.42.60[.]163), использовалась для атак на сайты Magento в Канаде и Японии. Целью этой кампании стала не просто кража данных, а обеспечение постоянного (persistent) скрытого доступа к жертвам. После эксплуатации той же уязвимости CVE-2025-54236 злоумышленники загружали на скомпрометированные серверы веб-оболочки (web shells). Это опасные вредоносные скрипты, которые размещаются по контролируемым атакующими путям и функционируют как бэкдоры, предоставляя удаленный доступ к файловой системе и командной строке сервера. Обнаруженные логи атак содержат структурированные записи, подтверждающие успешную загрузку таких оболочек, с указанием URL жертв, путей к размещенным скриптам и специальных ключей для управления ими.
Важно подчеркнуть, что, согласно оценке исследователей, эти инциденты не являются частью единой скоординированной кампании. Они демонстрируют, что различные группы угроз уже активно и независимо друг от друга используют уязвимость SessionReaper в своих целях. Общей чертой всех атак стал один и тот же первоначальный вектор - эксплуатация CVE-2025-54236 для обхода аутентификации, что впоследствии позволяло реализовать различные сценарии, от кражи критических данных до установки механизмов сохранения присутствия в системе.
Данные случаи красноречиво свидетельствуют о широком и продолжающемся риске, которому подвергаются непропатченные экземпляры Magento. Уязвимость предоставляет злоумышленникам простой и эффективный способ для получения высочайших привилегий. Владельцам сайтов на этой платформе необходимо в срочном порядке проверить наличие и установить все последние обновления безопасности от разработчика, чтобы закрыть данную брешь и предотвратить потенциальную компрометацию.
Индикаторы компрометации
IPv4
- 115.42.60.163
- 93.152.230.161
