サイバーニュース.jp

世界のサイバーなニュースを配信

200以上のMagentoストアがゼロデイ脆弱性「SessionReaper」により侵害、Rootkit攻撃が猛威を振るう

カテゴリ:

1. 概要

2026年1月30日、MagentoのEコマースプラットフォームにおけるゼロデイ脆弱性「CVE-2025-54236」、通称「SessionReaper」を悪用した危険な攻撃が猛威を振るっています。この脆弱性は、無効化されたセッショントークンを再利用することで認証をバイパスすることを可能にし、セッションハイジャックやサーバーの完全乗っ取りにつながる恐れがあります。

2. 脆弱性「SessionReaper」の詳細

セキュリティ研究者らは、全世界のMagentoサイトを標的とした複数の侵入キャンペーンを発見しました。「SessionReaper」の脆弱性は、認証のバイパスとセッションハイジャックを可能にするもので、CVSSスコアでも高い評価を受けています。攻撃者は正規のセッション中にトークンを傍受し、それを再利用して管理者になりすまし、特権を昇格させます。これにより、パスワードのブルートフォース攻撃のような目立つ活動なしに、ステルス性の高い攻撃を可能にしています。

3. 世界規模での攻撃とC2インフラ

これまでに200以上のMagentoストアがルートレベルの侵害を受け、最も憂慮すべきインシデントでは、攻撃者が1,460の脆弱なMagento Commerce APIをスキャンし、「success_api_2025.txt」というファイルにリストアップして悪用を企てました。このうち、216のウェブサイトが完全に侵害されました。侵害された各サイトからは、「/etc/passwd」リストを模倣したファイルが発見され、ユーザーアカウントの漏洩とルートアクセスが確認されています。

このキャンペーンでは、フィンランドにホストされたIPアドレス 93.152.230.161 をC2(コマンド&コントロール)インフラとして使用し、大規模なスキャンとエクスプロイトを指揮していました。Oasis Securityは、攻撃者が単にプローブするだけでなく、永続性のためにルートキットを展開するなど、組織的にシステムを掌握していると指摘しています。

4. 日本とカナダでのWebシェル攻撃

また、CVE-2025-54236の同じ脆弱性を利用した、別個のWebシェル攻撃が日本とカナダのMagentoサイトを標的として発生しました。これらの攻撃では、継続的なアクセスを確保するためにWebシェルがアップロードされました。C2トラフィックは香港のIPアドレス 115.42.60.163 を経由していました。「404_key.txt」や「key.txt」のようなログファイルには、被害者のURL、シェルパス、制御キーが詳細に記録されており、複数のサイトでのアップロード成功が示されています。Oasisの調査によると、これらのインシデントは異なる攻撃者による独立したものであると見られていますが、いずれもSessionReaperの脆弱性を悪用しています。

5. CVEの詳細と影響

この脆弱性「CVE-2025-54236」は、パッチが適用されていないMagento Commerceエディションに影響を与えます。認証バイパスからRCE(リモートコード実行)に至るため、深刻な影響を及ぼします。

  • CVE ID: CVE-2025-54236 (SessionReaper)
  • 対象ソフトウェア: Magento Commerce (未パッチ版)
  • 脆弱性の種類: 認証バイパス、セッションハイジャック
  • 悪用の影響: ルートアクセス、Webシェル、データ窃盗
  • 確認された被害: 216のルート化されたサイト + カナダ/日本のWebシェル攻撃
  • C2 IPアドレス: 93.152.230.161 (フィンランド), 115.42.60.163 (香港)

1,460以上の露出されたAPIは、パッチ未適用ストアにとって広範なリスクを示唆しています。Magentoは何千ものオンラインショップを支えており、主要な標的となっています。ルート化されたサイトでは、ルートキットが活動を隠蔽し、顧客データの窃盗やマルウェアの注入が行われている可能性があります。北米、ヨーロッパ、アジア太平洋地域で被害が報告されており、グローバルなスキャンが拡大を加速させています。

6. 対策と推奨事項

Oasisは、Magentoユーザーに対し、直ちにパッチを適用するよう強く促しています。Adobeは修正プログラムをリリースしており、composerアップデートを通じて適用可能です。また、以下のIOCs(侵害指標)の監視が推奨されます。

  • C2 IPアドレスの監視: 93.152.230.161および115.42.60.163を監視します。
  • 異常なセッション再利用のログチェック: ログを定期的に確認し、不審な活動を検出します。
  • セッションの強化: 厳格な無効化とトークンバインディングを強制します。
  • WAFルールの使用: CVE-2025-54236パターンをブロックするWAF(Web Application Firewall)ルールを適用します。
  • APIの監査と露出制限: APIを監査し、不必要な露出を制限します。

200以上のルート侵害が確認されている現状では、未対策のサイトは差し迫った脅威に直面しています。Oasisは、エクスプロイトが進化する中で、継続的な警戒を呼びかけています。

元記事: https://gbhackers.com/magento-zero-day-roots-200-stores/

投稿をさらに読み込む