「SessionReaper」に警戒を：Adobe Commerceの脆弱性が攻撃を受ける

出典：Andrew Mayovskyy／Alamyストックフォト

「SessionReaper」として知られるAdobe Commerceの重大な脆弱性が、概念実証（PoC）エクスプロイトの公開を受けて攻撃を受けています。

CVE-2025-54236は不適切な入力検証の脆弱性で、9月9日に公開され、Adobe Commerce（旧称Magento）およびMagentoオープンソース版向けに緊急アップデートで修正されました。悪用されると、攻撃者はセキュリティ機能を回避し、ユーザーの操作なしにAdobe Commerceのセッションをリモートで乗っ取ることができます。これが「SessionReaper」という名前の由来です。

オランダのセキュリティ企業Sansecは水曜日に公開したブログ記事で、SessionReaperの悪用活動を検知したと述べています。CVE-2025-54236の更新アドバイザリで、Adobeはこの脆弱性が実際に悪用されていることを確認しました。

さらに悪いことに、Sansecのデジタルフォレンジックチームによると、公開から1か月以上経過しても、SessionReaperに対してパッチが適用されているECプラットフォームはわずか38％にとどまっています。

SessionReaperの概念実証が公開

Sansecによると、SessionReaperの悪用活動は水曜日から始まりました。同社はMagento向けのSansec ShieldWebアプリケーションファイアウォール（WAF）で複数のストアに対する250件以上の攻撃試行をブロックしたと述べています。

またSansecは、サイバーセキュリティベンダーAssetnoteの研究者が水曜日にSessionReaperの完全な技術分析および概念実証エクスプロイトを公開したことにも言及しています。Sansecがブロックした攻撃試行がAssetnoteのPoCを使用していたかどうかは不明です。

「これを裏付ける直接的な証拠はありませんが、9月初旬からインストールベースの10％を監視しており、Assetnoteの公開日まで攻撃は観測されませんでした」とSansec創設者のWillem de Groot氏はDark Readingに語っています。

さらに、悪用活動は増加傾向にあるようです。攻撃試行は当初5つのIPアドレスから発生していましたが、de Groot氏によれば現在は97の異なるIPに拡大しています。「複数の異なる攻撃ペイロードを記録しており、複数の攻撃者がマススキャナーを稼働させていることを示唆しています。一部の攻撃者は有効な攻撃チェーンの作成に苦労しているようですが、他の攻撃者は機能する攻撃手法を確立しています」と述べています。

「Reaper」への防御を強化する

攻撃試行の出所がどこであれ、Sansecはレポートで「安全にパッチを適用できる期間は事実上終了した」と述べ、Adobe Commerceの顧客に直ちに対応するよう勧告しています。

「エクスプロイトの詳細が公開され、すでに実際の攻撃が観測されているため、今後48時間以内に大規模な悪用が発生すると予想されます」とSansecは記しています。「技術的な解説が公開されると、自動スキャンや悪用ツールが通常すぐに登場し、SessionReaperの影響の大きさから攻撃者にとって魅力的な標的となっています。」

緊急アップデートの適用に加え、SansecはAdobe Commerceの顧客にWAFの導入や侵害の兆候をスキャンすることを推奨しています。また、CVE-2025-54236への攻撃の初期ペイロードにはPHP Webシェルやphpinfoプローブが含まれていたため、こうした活動にも注意するよう呼びかけています。

Adobeは2018年にMagentoを買収して以来、プラットフォーム（後に改称）は脅威アクターからの標的が増加しています。脅威活動の多くはMagecart攻撃によるもので、これはオンラインストアからのクレジットカード情報のスキミングやデータ窃取を専門としています。