Οι χάκερ εκμεταλλεύονται ενεργά την κρίσιμη ευπάθεια SessionReaper (CVE-2025-54236) στις πλατφόρμες Adobe Commerce (πρώην Magento), με εκατοντάδες προσπάθειες να καταγράφονται.
Η δραστηριότητα εντοπίστηκε από την εταιρεία ασφάλειας ηλεκτρονικού εμπορίου Sansec, της οποίας οι ερευνητές περιέγραψαν προηγουμένως το SessionReaper ως ένα από τα πιο σοβαρά σφάλματα ασφαλείας στην ιστορία του προϊόντος.
Η Adobe προειδοποίησε για CVE-2025-54236 στις 8 Σεπτεμβρίου, λέγοντας ότι πρόκειται για μια ακατάλληλη ευπάθεια επικύρωσης εισόδου που επηρεάζει τις εκδόσεις Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 (και παλαιότερες).
Ένας εισβολέας που εκμεταλλεύεται επιτυχώς το ελάττωμα μπορεί να πάρει τον έλεγχο των περιόδων σύνδεσης του λογαριασμού χωρίς καμία αλληλεπίδραση με τον χρήστη.
“Ένας πιθανός εισβολέας θα μπορούσε να αναλάβει λογαριασμούς πελατών στο Adobe Commerce μέσω του Commerce REST API.” Η Adobe εξηγεί.
Η Sansec δήλωσε προηγουμένως ότι η επιτυχής εκμετάλλευση πιθανότατα εξαρτάται από την αποθήκευση δεδομένων περιόδου σύνδεσης στο σύστημα αρχείων, την προεπιλεγμένη διαμόρφωση που χρησιμοποιείται από τα περισσότερα καταστήματα και ότι μια επείγουσα επιδιόρθωση που διέρρευσε από τον προμηθευτή θα μπορούσε να παρέχει ενδείξεις για το πώς μπορεί να αξιοποιηθεί.
Περίπου έξι εβδομάδες αφότου έγινε διαθέσιμο το έμπλαστρο έκτακτης ανάγκης για το SessionReaper, η Sansec επιβεβαιώνει την ενεργό εκμετάλλευση στη φύση.
“Έξι εβδομάδες μετά την ενημέρωση κώδικα έκτακτης ανάγκης της Adobe για το SessionReaper (CVE-2025-54236), η ευπάθεια έχει εισέλθει σε ενεργή εκμετάλλευση.” διαβάζει το δελτίο του Sansec.
«Η Sansec Shield εντόπισε και μπλόκαρε τις πρώτες επιθέσεις στον πραγματικό κόσμο σήμερα, κάτι που είναι άσχημα νέα για τα χιλιάδες καταστήματα που παραμένουν χωρίς επιδιόρθωση», είπαν οι ερευνητές.
Μόλις σήμερα, η Sansec απέκλεισε περισσότερες από 250 προσπάθειες εκμετάλλευσης του SessionReaper με στόχο πολλαπλά καταστήματα, οι περισσότερες από τις επιθέσεις προέρχονται από πέντε διευθύνσεις IP:
- 34.227.25.4
- 44.212.43.34
- 54.205.171.35
- 155.117.84.134
- 159.89.12.166
Οι επιθέσεις μέχρι στιγμής περιλάμβαναν PHP webshells ή phpinfo probes που ελέγχουν τις ρυθμίσεις διαμόρφωσης και αναζητούν προκαθορισμένες μεταβλητές στο σύστημα.
Επίσης σήμερα, ερευνητές στο Searchlight Cyber δημοσίευσαν ένα λεπτομερής τεχνική ανάλυση του CVE-2025-54236, το οποίο θα μπορούσε να οδηγήσει σε αύξηση των προσπαθειών εκμετάλλευσης.
Σύμφωνα με τη Sansec, το 62% των διαδικτυακών καταστημάτων Magento δεν έχουν εγκαταστήσει ακόμη την ενημέρωση ασφαλείας της Adobe και παραμένουν ευάλωτα σε επιθέσεις SessionReaper.
Οι ερευνητές σημειώνουν ότι δέκα ημέρες αφότου έγινε διαθέσιμη η ενημέρωση κώδικα, η δραστηριότητα της ενημέρωσης κώδικα ήταν τόσο αργή που μόνο ένας στους τρεις ιστότοπους εγκατέστησε τις ενημερώσεις. Επί του παρόντος, 3 στα 5 καταστήματα είναι ευάλωτα.
Συνιστάται στους διαχειριστές του ιστότοπου να εφαρμόσουν την ενημέρωση κώδικα ή τους προτεινόμενους μετριασμούς από την Adobe το συντομότερο δυνατό.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
