阿卡迈安全情报集团(Akamai Security Intelligence Group)发布紧急警告,称已观察到名为SessionReaper(CVE-2025-54236)的新披露Magento漏洞在野外被主动利用。该漏洞被评为严重级别,允许攻击者劫持用户会话,并在特定条件下实现对易受攻击服务器的未授权远程代码执行(RCE)。
根据阿卡迈研究人员的报告:“自2025年10月22日起的48小时内,针对超过130个不同主机的攻击尝试已超过300次。这些攻击尝试来自11个不同的IP地址。”
该漏洞影响Magento(现为Adobe Commerce),最初由Adobe在2025年9月9日的紧急补丁公告中披露。几周内,公开的概念验证(PoC)代码在网上出现,引发了全球范围内针对电子商务平台的自动化扫描和攻击尝试浪潮。
SessionReaper(编号CVE-2025-54236)是Magento会话处理逻辑中的输入验证不当漏洞。最初被描述为会话劫持漏洞,进一步分析显示,攻击者可通过漏洞链在未打补丁的服务器上执行任意PHP代码。
阿卡迈的报告警告:“成功利用SessionReaper还可能导致未授权远程代码执行。”
攻击活动与影响
在PoC漏洞利用代码公开后,阿卡迈的遥测系统立即检测到针对Magento端点的恶意流量激增。两天内,研究人员观察到大量侦察和攻击载荷试图入侵暴露的实例。
其中包括“经典的phpinfo和echo探测(攻击者常用的侦察手段)”,以及旨在获取服务器持久访问权的Webshell。
一旦部署Webshell,攻击者可操控Magento后端、窃取支付数据、创建恶意管理员账户,并将受感染基础设施用作进一步入侵的跳板。
阿卡迈的报告强调:“最具破坏性的载荷是允许威胁行为者持久访问Web服务器的Webshell。”
风险背景与建议
Magento(现整合至Adobe Commerce)为数千家在线零售平台提供支持,包括中小企业和大型企业店面。其普及性加上历史上多次出现可利用漏洞,使其成为网络犯罪分子的长期目标。
阿卡迈强调:“Magento的普遍性和严重漏洞历史使其成为威胁行为者的理想目标。”
此次攻击浪潮与之前的Magecart和Cardbleed等活动类似,攻击者在结账页面注入JavaScript skimmer以窃取客户数据。
鉴于漏洞利用的简易性和武器化脚本的公开可用性,阿卡迈强烈建议立即打补丁。
“考虑到Magento的广泛使用和此漏洞的严重性,组织应尽快应用Adobe提供的补丁。”研究人员警告称。
发表评论
您还未登录,请先登录。
登录