Magentoのeコマースプラットフォームにおいて、「SessionReaper」と呼ばれるCVE-2025-54236を悪用した危険な攻撃の波が発生しています。
この脆弱性により、攻撃者は無効なセッショントークンを再利用して認証を回避でき、セッションハイジャックやサーバーの完全掌握への道が開かれます。
研究者は、世界中のMagentoサイトを狙う複数の侵入キャンペーンを発見し、200以上のストアがルート権限レベルで侵害されました。
最も憂慮すべき事案では、脅威アクターが1,460件の脆弱なMagento Commerce APIをスキャンして標的化しました。
攻撃者はこれらを「success_api_2025.txt」というファイルに一覧化し、悪用対象としてマーキングしました。この母集団から、216のWebサイトが完全に侵害されました。
侵害された各サイトからは、/etc/passwdの一覧を模したファイルが得られ、ユーザーアカウントが露出するとともに、rootアクセスが確認されました。Oasis Securityの図に示されたこれらの漏えいは、攻撃者がサーバーに対して神のような支配権を得たことを裏付けています。
このキャンペーンは、フィンランドでホスティングされているIP 93.152.230.161上のアクティブなコマンド&コントロール(C2)インフラに依存していました。
この構成により大規模なスキャンと悪用が統制され、脆弱なAPIが侵入口へと変えられました。Oasisはその攻撃的な規模を指摘しています。攻撃者は単に探索しただけでなく、体系的にシステムをroot化し、永続化のためにルートキットを展開した可能性が高いとしています。
別のWebシェル攻撃がカナダと日本を直撃
同じCVE-2025-54236の欠陥を用いて、カナダと日本のMagentoサイトを狙う別個の作戦が確認されました。ここでは攻撃者が継続的なアクセスのためにWebシェルをアップロードしました。
C2トラフィックは香港のIP 115.42.60.163を経由して流れていました。「404_key.txt」や「key.txt」といったファイルのログには、被害者URL、シェルのパス、制御キーが記録されています。
これらのログの証拠は、複数サイトでアップロードが成功していることを示しています。例えば、構造化されたエントリには正確な配置パスが記載されており、リモートコード実行が可能になります。
Oasisの図は、日本とカナダがホットスポットであることを強調しており、被害者サーバー上の攻撃者が選んだ場所にシェルが設置されていました。この構成により、初期悪用後であっても永続的なバックドアが確保されます。
Oasisは、これらの事案は独立しており、異なるアクターが関与しているように見えると強調しています。しかし、いずれもSessionReaperの中核的な弱点、すなわちMagentoにおける不十分なセッショントークン無効化を悪用しています。
攻撃者は正規セッション中にトークンを取得し、それをリプレイして管理者になりすまし、権限を昇格させます。
CVEの詳細と影響表
CVE-2025-54236は、パッチ適用前のMagento Commerceエディションに影響します。認証回避の連鎖がRCEにつながるため、CVSSスコアは高く評価されています。
| 詳細 | 情報 |
|---|---|
| CVE ID | CVE-2025-54236(SessionReaper) |
| 影響を受けるソフトウェア | Magento Commerce(未パッチ) |
| 脆弱性の種類 | 認証回避、セッションハイジャック |
| 悪用の影響 | rootアクセス、Webシェル、データ窃取 |
| 特定された被害者 | root化されたサイト216件+カナダ/日本のWebシェル |
| C2 IP | 93.152.230.161(フィンランド)、115.42.60.163(香港) |
この表は欠陥の範囲を要約しています。露出したAPIが1,460件を超えることは、未パッチのストアにとってより広範なリスクを示唆します。
Magentoは数千のオンラインショップを支えており、格好の標的です。SessionReaperは、過去のPOODLE風の欠陥のようなeコマース脆弱性の連鎖に加わりました。攻撃者がこれを好むのは、目立つ総当たり攻撃が不要で、トークンの再利用だけで済むというステルス性のためです。
Oasisは脅威ハンティングによりこれらを発見し、漏えいファイルとログを分析しました。/etc/passwdの抜粋はサーバー内部情報を露出させ、ラテラルムーブメントやランサムウェア準備に役立ちます。
root化されたサイトでは、ルートキットが活動を隠蔽し、顧客データを窃取したり、マルウェアを注入したりしている可能性があります。
北米、欧州、アジア太平洋などの地域で被害が報告されており、グローバルスキャンが拡散を増幅しています。
Magentoユーザーは直ちにパッチを適用する必要があります。Adobeは修正を提供しており、composerのアップデートで適用してください。IOCをスキャンしましょう:
- C2 IPを監視:93.152.230.161、115.42.60.163。
- 異常なセッション再利用がないかログを確認。
- セッションを強化:厳格な無効化、トークンバインディングを強制。
- CVE-2025-54236のパターンをブロックするWAFルールを使用。
- APIを監査し、露出を制限。
この猛攻は、Magentoにおけるパッチ適用の緊急性を浮き彫りにしています。200件超のroot侵害が確認されており、未対策のサイトは差し迫った脅威に直面しています。Oasis は、悪用が進化する中で警戒を促しています。
翻訳元: https://gbhackers.com/magento-zero-day-roots-200-stores/
