TokyoBlackHatNews

gbhackers.com 4分で読了

ハッカーがMagentoの脆弱性を悪用してリモートコード実行と完全なアカウント制御を奪取

「PolyShell」と呼ばれる重大な脆弱性が、MagentoおよびAdobe Commerceプラットフォーム全体で積極的に悪用されています。

Sansec Forensics Teamによって発見され、2026年3月17日に公開されたこの欠陥により、認証されていない攻撃者がプラットフォームのREST APIを通じて実行可能ファイルをアップロードできます。

本番環境の公式パッチが現在存在しないため、数千のオンラインストアはリモートコード実行(RCE)と完全なアカウント乗っ取りの高いリスクにさらされています。

PolyShell脆弱性

核となる問題はMagentoのREST APIに存在し、特に匿名ゲストカートルート内にあります。

カートアイテムにカスタムファイルオプションが含まれている場合、APIはBase64エンコードされたデータ、MIMEタイプ、ファイル名を含む埋め込みファイルオブジェクトを処理します。

システムはオプションIDを検証せず、製品が実際にファイルアップロードを必要とするかどうかをチェックせず、決定的にファイル拡張子の制限が欠けています。

これにより、脅威アクターは基本的な画像ヘッダーチェックを簡単にバイパスし、悪意のあるスクリプトをサーバーのアップロードディレクトリに直接アップロードできます。

ゲストカートエンドポイントは認証情報なしで脆弱ですが、GraphQL変更は異なるコードパスを使用し、影響を受けません。

脆弱性はソフトウェアのさまざまなバージョンに異なる影響を与えます:

  • 無制限のファイルアップロードはMagento Open SourceおよびAdobe Commerce 2.4.9-alpha2までのすべてのバージョンに影響します。
  • 保存型クロスサイトスクリプティング(XSS)は2.3.5より前のすべてのバージョンに影響します。
  • リモートコード実行(RCE)は、標準的なNginxがindex.phpファイル名を渡す、またはApacheが特定のPHPエンジン制限のない特定のWebサーバー構成に依存します。
  • 欠陥は2.4.9-alpha3以降のプリリリースブランチでのみ公式にパッチされています。

Sansec研究者は2026年3月19日に自動化された大規模スキャンと積極的な悪用の開始を観察しました。

攻撃者はポリグロットファイルを利用して攻撃を実行しており、これは有効なGIFやPNGのような合法的な画像に巧妙に偽装した悪意のあるコードです。

最も一般的なペイロードはGIF89aポリグロットであり、実行可能なPHPファイルとしてサーバーにドロップされます。

これらのWebシェルは、任意のコードを実行したり、さらなる悪意のあるファイルアップロードを許可したりする前に、攻撃者認証を検証するためにハードコードされたMD5ハッシュを使用します。

侵害の指標

セキュリティチームはPolyShell攻撃に関連する以下の指標について環境を監視する必要があります:

  • ペイロードファイル名にはindex.phpjson-shell.phpbypass.phtmlc.phprce.phpato_poc.htmlが含まれることがよくあります。
  • 攻撃者は時々Unicode難読化を使用してファイル名を隠し、bypass.phpをエンコードして基本的な検出を回避します。
  • ペイロードにハードコードされた認証ハッシュにはa17028468cb2a870d460676d6d6da3ad63706778e3および4009d3fa8132195a2dab4dfa3affc8d2が含まれます。
  • 悪意のあるプロービングは2.217.245.2133.12.250.8318.220.50.153198.186.130.10を含む数十のIPに追跡されています。

Adobeが現在の本番環境の包括的なパッチをリリースするまで、管理者は即座に防御措置を講じる必要があります。

主な推奨事項は、リアルタイムの悪用試行をブロックするために専門的なWebアプリケーションファイアウォール(WAF)をデプロイすることです。

さらに、管理者はpub/media/custom_options/ディレクトリへのアクセスを厳格に制限する必要があります。

Nginxサーバーの場合、これはdenyディレクティブを備えた厳格なロケーションブロックルールを確保することを含み、Apacheユーザーは.htaccessアクセス制御ファイルが存在し有効であることを確認する必要があります。

最後に、セキュリティチームは初期実行が失敗した場合でもアップロードされたマルウェアはディスク上に残るため、休止中のファイルを検出するためにインフラストラクチャを定期的にスキャンする必要があります。

翻訳元: https://gbhackers.com/hackers-exploiting-magento-flaw/

ソース: gbhackers.com
#Adobe Commerce #Magento #PolyShell #REST API #Webシェル #ファイルアップロード #ポリグロット攻撃 #リモートコード実行 #脆弱性 #認証回避

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚