TokyoBlackHatNews

cyberpress.org 4分で読了

攻撃者がMagentoの脆弱性を悪用し200以上のサイトを乗っ取る

MagentoのEC環境を標的とした複数の独立した侵入キャンペーンにより、世界中で200以上のWebサイトが完全に侵害されました。

これらの攻撃は、CVE-2025-54236として追跡され、「SessionReaper」としても知られる重大な脆弱性を悪用しています。

この欠陥により、脅威アクターは不適切に無効化されていないセッショントークンを再利用(リプレイ)することで認証機構を回避でき、権限のないアカウントアクセス、深刻な場合にはrootレベルでのシステム乗っ取りにつながります。

これらの侵入を特定した企業は、異なるインフラを用いて脆弱性を悪用する、明確に異なる脅威アクターを観測しました。

あるキャンペーンは大量スキャンと機密性の高いシステムファイルの取得に注力し、別のキャンペーンはWebシェルを介した永続的アクセスの確立に注力しました。

無関係なグループが同時にこの欠陥を悪用している事実は、未パッチのMagentoインスタンスに差し迫ったリスクがあることを浮き彫りにしています。

この波で最も攻撃的と特定されたキャンペーンは、フィンランドに拠点を置くコマンド&コントロール(C2)インフラから発生しました。

この攻撃者は、大規模スキャンを実施して脆弱なMagento Commerce APIを特定しました。

SessionReaperの脆弱性を悪用することで、攻撃者は大きな攻撃対象領域を把握し、1,460以上の脆弱なAPIを特定することに成功しました。

これらの標的は攻撃者のサーバー上の success_api_2025.txt というファイルにカタログ化されており、標的選定が高度に自動化され構造化されていることを示しています。

このキャンペーンの影響は深刻でした。分析により、特定されたサイトのうち少なくとも216件が完全に侵害されたことが確認されました。

攻撃者は単なるアプリケーションレベルのアクセスにとどまらず、権限を昇格させてホストサーバー上でroot権限を取得しました。

この深刻な侵害の証拠として、被害システムから /etc/passwd ファイルが持ち出されていたことが確認されました。

これらのファイルが回収されたことは、攻撃者が基盤となるオペレーティングシステムに対して制限のない読み取りアクセスを持っていたことを示しています。

root権限があれば、これらの攻撃者は顧客の決済データを窃取したり、サイトのコードを改ざんしたり、ネットワーク内の他の接続システムへ横展開したりする可能性があります。

2つ目の別個のキャンペーンは、カナダと日本のMagento環境を特に標的としていることが観測されました。

この作戦は香港に所在するC2インフラを利用し、即時のデータ持ち出しではなく永続化の確立に焦点を当てていました。

脅威アクターはCVE-2025-54236を悪用して被害サーバーにWebシェルをアップロードし、侵害されたサイトに対する長期的なリモート制御を可能にしました。

攻撃者インフラから回収されたログにより、攻撃者が管理するパスへの悪意あるスクリプトのアップロードが成功していたことが明らかになりました。

これらのログは綿密に構造化されており、被害URLとともに、Webシェルが配置された具体的なパス、そしてアクセスに必要な関連制御キーが列挙されていました。

Webシェルの展開は、一時的な脆弱性悪用を永続的なセキュリティインシデントへと変えてしまいます。

たとえ元の脆弱性をパッチ適用しても、Webシェルにより攻撃者はアクセスを維持し、任意のコマンドを実行し、望むままにファイルを改変できます。

このキャンペーンは、「SessionReaper」が複雑で長期にわたる攻撃に必要な初期足掛かりを容易にする危険性を示しています。

CVE-2025-54236の核心は、Magentoプラットフォームにおけるセッション終了処理の扱いにあります。特定の条件下で、セッショントークンが使用後またはログアウト後に十分に無効化されません。

この不備により、攻撃者は有効なトークンを捕捉し、サーバーに対して再利用(リプレイ)できます。

サーバーはトークンをまだ有効だと認識するため、パスワードを要求することなく、攻撃者に関連ユーザーのセッションへのアクセスを許可します。

これが管理者アカウントやAPIエンドポイントに対して悪用されると、システム全体の制御が可能になります。

Magento環境を管理する管理者は、CVE-2025-54236を緩和するため、最新のセキュリティパッチを直ちに適用することが推奨されます。

さらに、Webシェル展開が広く見られることを踏まえ、Webルート内の不審なファイルの有無を徹底的に監査し、アクセスログを確認して疑わしいIPアドレスを洗い出すことが推奨されます。これにより、永続的なバックドアが残っていないことを確実にできます。

翻訳元: https://cyberpress.org/attackers-hijack-200-sites-magento-vulnerability/

ソース: cyberpress.org
#CVE-2025-54236 #ECサイトセキュリティ #Magento #SessionReaper #Webシェル #セッショントークン再利用 #パッチ適用 #ルート権限奪取 #侵害・不正アクセス #認証バイパス

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に