Eylül ayı başlarında bir güvenlik araştırmacısı, binlerce çevrimiçi perakendeci tarafından kullanılan açık kaynaklı bir e-ticaret platformu olan Magento ve onun ticari karşılığı olan Adobe Commerce’de yeni bir güvenlik açığını ortaya çıkardı. Doğrudan bir korku filminden çıkmış gibi geliyor: SessionReaper. Sinematik isminin arkasında, CVE-2025-54236 olarak takip edilen çok gerçek ve çok tehlikeli bir uzaktan kod yürütme kusuru gizlidir. Saldırganların canlı müşteri oturumlarını ele geçirmesine ve hatta bazı kurulumlarda mağazayı çalıştıran sunucunun tam kontrolünü ele geçirmesine olanak tanır.
SessionReaper, Magento’nun mağaza ile diğer hizmetler arasındaki iletişimi yöneten bir bölümünde yaşıyor. Hata, hatalı giriş doğrulamasından ve serileştirilmiş verilerin güvenli olmayan şekilde işlenmesinden kaynaklanmaktadır. Basit bir ifadeyle Magento bazen hiçbir web uygulamasının asla güvenmemesi gereken verilere güvenir. Bu, bir saldırganın sistemi, özel hazırlanmış bir “oturum” dosyasını meşru kullanıcı girişi olarak kabul etmesi için kandırmasına olanak tanır; parola gerekmez.
Bu oturum açma işlemiyle ne yapabilecekleri mağazanın nasıl yapılandırıldığına bağlı ancak SecPod’daki araştırmacılar şu uyarıda bulunuyor:
“SessionReaper’ın başarılı bir şekilde kullanılması, güvenlik özelliklerinin atlanması, müşteri hesabının ele geçirilmesi, veri hırsızlığı, hileli siparişler ve potansiyel olarak uzaktan kod yürütme dahil olmak üzere birçok ciddi sonuca yol açabilir.”
Bunun gibi oturum hırsızları, güvenliği ihlal edilmiş bir mağazanın alışveriş yapan kişinin kişisel ayrıntılarını, sipariş bilgilerini veya ödeme verilerini saldırganlara sessizce ifşa edebileceği anlamına gelir. Bazı durumlarda suçlular, siz yazarken kart ayrıntılarını toplayan veya sizi meşru ödeme gibi görünecek şekilde tasarlanmış kimlik avı sitelerine yönlendiren “skimmer” kodunu enjekte eder.
Güvenlik açığına yönelik bir yama 9 Eylül’de yayınlandı, ancak altı hafta sonra Magento mağazalarının yaklaşık %62’sinin yamasız kaldığı bildirildi. Birisi bir kavram kanıtını (PoC) yayınladıktan sonra, siber suçlular hızla çalışan güvenlik açıkları oluşturdu ve saldırılar artık hızla yayılıyor. Dolayısıyla, SessionReaper alışveriş yapan kişinin doğrudan “yakalayabileceği” bir kötü amaçlı yazılım olmasa da, site sahipleri yama yapana kadar güvenilir mağazaları bile olası veri hırsızlığı tuzaklarına dönüştürebilir.
Sensörleri dünya çapındaki e-ticaret saldırılarını izleyen Sansec’teki araştırmacılar, istismar kodunun halka açılmasından sonraki 24 saat içinde 250’den fazla Magento mağazasının tehlikeye girdiğini bildirdi.
Tüketiciler nasıl güvende kalabilir?
Web mağazası sahipleri Magento sitelerine derhal yama yapmalıdır. Ne yazık ki, düzenli alışveriş yapanların bir mağazanın hâlâ savunmasız olup olmadığını veya halihazırda güvenlik altına alınmış olup olmadığını anlamanın neredeyse hiçbir yolu yok.
Tüketicinin bakış açısından SessionReaper, güvenilir mağazaların bile sayfa yüklemeleri arasında sessizce güvensiz hale gelebileceğinin bir başka hatırlatıcısıdır. Magento kadar yaygın bir platform aktif saldırı altında olduğunda en iyi savunma genellikle mağazanın dışındadır.
- Bir sitedeki tuhaf davranışlara veya geçerli HTTPS’nin eksik olmasına dikkat edin ve şüpheli görünen bir şey varsa ödeme veya kişisel verilerinizi girmeyin.
- Mümkün olduğunda, mağazanın sunucularından izole oldukları için üçüncü taraf ağ geçitlerini (PayPal gibi) kullanan ödeme seçeneklerini tercih edin.
- Şüpheli e-ticaret davranışını hemen site operatörüne veya ödeme sağlayıcınıza bildirin.
- Mümkün olduğunca saygın sitelerden alışveriş yapın veya satın almadan önce yeni satıcıların incelemelerini ve itibarlarını kontrol edin.
- En son tehditlere karşı koruma sağlamak için işletim sisteminizin, tarayıcınızın ve kötü amaçlı yazılımdan koruma yazılımınızın güncel olduğundan emin olun.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.