Adobe’nin bir acil durum düzeltmesi göndermesinden altı hafta sonra, saldırganlar SessionReaper’ı silahlandırmaya başladı ve çoğu Magento mağazası hâlâ açığa çıktı.
Güvenlik firması Sansec’in adli tıp ekibi, kavram kanıtı kodu ve kamuya açık bir teknik yazı olarak, SessionReaper hatasının yüzlerce gerçek dünyadaki istismar girişimini engellediğini söyledi. Bu hatayı hâlâ düzeltmemiş olanlar için, bu, yaygın suiistimallerin takip edeceğine dair kritik bir uyarı.
SessionReaper Hatası Nedir?
SessionReaper (CVE-2025-54236), Adobe Commerce/Magento’da, yöneticiye yönelik işlevlerdeki iç içe seri durumdan çıkarmadan kaynaklanan, kimliği doğrulanmamış, uzaktan kod yürütme kusurudur. Assetnote, bir saldırganın nesne seri durumdan çıkarma işlemini tetiklemek ve isteğe bağlı PHP çalıştırmak için nasıl istekte bulunabileceğini gösteren teknik analizi yayınladı; bu, web kabuklarına ve tüm mağazanın ele geçirilmesine giden düz bir yoldur. Sansec araştırmacıları, istismar ayrıntılarının artık kamuoyuna açıklanmasıyla, güvenli yama uygulamasına yönelik pencerenin etkin bir şekilde kapandığını söyledi.
Sansec araştırmacıları, Magento mağazalarının yalnızca %38’inin, Adobe’nin yamasını ifşa edildikten altı hafta sonra uyguladığını, bu durumun kabaca %62’sini otomatik taramalara ve emtia istismar araçlarına karşı savunmasız bıraktığını bildirdi. Ayrıca tek bir günde 250’den fazla istismar girişiminin engellendiğini doğruladılar ve PHP web kabukları veya phpinfo araştırmaları sağlayan ilk yükleri gözlemlediler. Şirket, savunmacıların gelen trafiği önceliklendirmesine yardımcı olmak için bir dizi saldırgan kaynak IP’si yayınladı.
Ayrıca okuyun: Adobe, Ticaret ve Magento’daki ‘SessionReaper’ Güvenlik Açığı İçin Acil Düzeltme Eki Yayınladı
Saldırganlar Tanıdık E-Ticaret Başucu Kitabından Yararlandı
Araştırmacılar, saldırının akışının yeni olmadığını ve daha önce gözlemlendiğini söyledi. Saldırganlar, erişilebilir yönetici konsolları bulmak için web’i taradı, savunmasız uç noktaya özel hazırlanmış HTTP istekleri gönderdi ve web kabuklarını kalıcı hale getirmek ve döndürmek için bıraktı.
Sansec, SessionReaper’ın potansiyel etkisini Shoplift (2015) ve CosmicSting (2024) gibi daha önceki kitlesel uzlaşma kusurlarıyla karşılaştırdı; bunların her ikisi de site çapında enfeksiyon dalgalarına ve ödeme kartı gözden geçirme kampanyalarına yol açtı. Otomatik istismar tarayıcıları ve dolaşımdaki kavram kanıtı koduyla araştırmacılar, kamuya açık analizden birkaç saat sonra toplu uzlaşma bekliyorlar.
Araştırmacıların önerdiği savunma kontrol listesi basit ama acil olmaya devam ediyor. Mağaza sahiplerini, satıcı yamasını derhal dağıtmaya veya en son güvenlik sürümüne yükseltmeye çağırdılar; hemen yama yapamazlarsa bir web uygulaması güvenlik duvarını (WAF) etkinleştirmek; ve beklenmeyen PHP web kabukları, webroot’taki yeni dosyalar ve şüpheli zamanlanmış görevler gibi göstergeler için kapsamlı bir güvenlik taraması çalıştırmak. Ayrıca, araştırma etkinliğini tanımlamak için gözlemledikleri IP’ler için günlüklerin aranmasını tavsiye ettiler.
Uyarı, e-ticaret platformlarının riski artırma şekli nedeniyle özellikle ağırlık taşıyordu. Magento ve Adobe Commerce; ödemeler, müşteri kişisel bilgileri ve üçüncü taraf eklentilerin kesiştiği noktada yer alır. Güvenliği ihlal edilmiş tek bir yönetici konsolu, bir saldırganın ödeme sayfalarını değiştirmesine, ödeme hesaplayıcıları eklemesine ve kredi kartı verilerini geniş ölçekte toplamasına olanak tanıyabilir. Saldırganlar geçmişte Magecart skimmer’lar kurarak veya uzun süren dolandırıcılık operasyonları için arka uç erişimi oluşturarak bu uzlaşmalardan hızla para kazandılar. Sansec’in zaman çizelgesi, SessionReaper’ı açıkça aynı sınıftaki yüksek etkili tedarik zinciri kötüye kullanımıyla ilişkilendirdi.
SessionReaper bölümü daha geniş iki ders sunuyordu. İlk olarak, internete yönelik altyapıya yönelik kritik yol düzeltmeleri, düşmanın otomatikleştirme yeteneğinden daha hızlı ilerlemelidir; Adobe’nin yaması geldi ancak benimsenmesi tehlikeli derecede gecikti. İkincisi, e-ticaret operatörlerinin katmanlı kontrollere ihtiyacı vardı. Tek başına yama uygulamak istismarı durduracaktır ancak WAF’ler, güçlendirilmiş dağıtım uygulamaları, ayrıcalık ayrımı ve sürekli dosya bütünlüğü izleme, anında yama uygulamanın zor olduğu durumlarda zaman kazandırır.