深刻な脆弱性「SessionReaper」が世界中で悪用中

世界中のAdobe CommerceおよびMagentoプラットフォームを標的とした、認証不要のリモートコード実行（RCE）脆弱性が活発に悪用されています。この脆弱性はCVE-2025-54236として追跡され、「SessionReaper」と名付けられています。数千のオンラインストアで顧客アカウントの乗っ取りやリモートコード実行を可能にするこの欠陥は、緊急の対応が求められています。

脆弱性の概要

• CVE ID: CVE-2025-54236
• 脆弱性名: SessionReaper
• 影響を受ける製品: Adobe Commerce & Magento (全バージョン)
• タイプ: 認証不要RCE、アカウント乗っ取り
• CVSS 3.1スコア: 9.1 (Critical)

セキュリティ研究機関Sansecは、2025年10月22日に最初の大規模攻撃を検知しました。これは、Adobeが緊急パッチをリリースしてから約2ヶ月後のことです。発見時、影響を受けるストアの40%未満しか保護パッチを適用していませんでした。

攻撃の手口

SessionReaperは、悪意のあるセッションとMagentoのREST APIにおけるネストされたデシリアライゼーションのバグを組み合わせることで、攻撃者に脆弱なストアフロントへの完全な制御を許可します。攻撃は/customer/address_file/uploadエンドポイントを介して行われ、攻撃者は偽のセッションファイルに見せかけたPHPバックドアをアップロードします。この手法により、認証要件が完全に回避され、インターネットに接続されたあらゆる攻撃者が有効な認証情報なしに未パッチのシステムを侵害できます。

ファイルベースのセッションストレージを使用しているMagento管理者は最も高いリスクに直面していますが、Redisやデータベースバックアップセッションに依存している組織も安全であるとは限りません。セキュリティ研究者は複数の攻撃ベクトルが存在することを確認しており、実際の悪用範囲は現在理解されているよりも広い可能性があります。

Adobeの対応と課題

Adobeは、通常のリリーススケジュールを破り、9月9日にSessionReaperのパッチを緊急の帯域外アップデートとしてリリースしました。しかし、その適用率は極めて低いままでした。9月中旬までに、Magentoストアの3分の1未満しか修正をインストールしていませんでした。この遅れが、攻撃者がエクスプロイトを開発し展開するための決定的な機会を生み出しました。

さらに悪いことに、Adobeが誤ってパッチコードをGitHubに漏洩したことで、攻撃者の準備が加速した可能性があります。また、Adobeの公式脆弱性アドバイザリは当初、脅威を過小評価し、影響をアカウント乗っ取りのみと説明し、セキュリティ研究者が後に確認したリモートコード実行については言及していませんでした。

過去の事例と緊急対策

SessionReaperは、Shoplift（2015年）、Ambionics SQLインジェクション（2019年）、TrojanOrder（2022年）、CosmicSting（2024年）といった悪名高い脆弱性と並び、これまで発見されたMagentoの脆弱性の中でも最も深刻なものの一つです。これらの過去の脆弱性も、公開後数時間から数日で数千のストアが侵害される結果となりました。

未パッチのMagentoまたはAdobe Commerceインスタンスを運用している組織は、差し迫った侵害の危機に直面しています。以下の緊急対策を講じる必要があります。

• Adobeのリポジトリから公式パッチをデプロイし、徹底的にテストする。修正がカスタム拡張機能を破損する可能性があるため、注意が必要です。
• 24時間以内にパッチを適用できない管理者は、一時的な保護としてWeb Application Firewall（WAF）を有効化する。現在、Adobe FastlyとSansec Shieldのみがこの特定の攻撃をブロックします。
• すでにパッチが適用されているストアの場合、マルウェアスキャナーを実行して侵害を検出し、暗号鍵をローテーションして攻撃者がCMSブロックを無期限に変更するのを防ぐことが推奨されます。

現在、ストアの62%が未パッチのままであり、自動化されたエクスプロイトキャンペーンの犠牲になる組織が増えるにつれて、脅威の状況は進化し続けています。

---

元記事: https://gbhackers.com/active-exploits-target-magento-adobe-commerce/