Hakerzy aktywnie wykorzystują krytyczną lukę „SessionReaper” w Adobe Magento (CVE-2025-54236)

Wprowadzenie do problemu / definicja luki

SessionReaper (CVE-2025-54236) to krytyczna luka w Adobe Commerce i Magento Open Source, umożliwiająca przejęcie sesji użytkownika przez nieautoryzowanego atakującego poprzez API (Web API). Adobe wydało poprawkę 9 września 2025 r., a 22–23 października 2025 r. pojawiły się doniesienia o aktywnym wykorzystywaniu tej podatności na szeroką skalę. Adobe potwierdza krytyczny charakter problemu i zaleca natychmiastowe wdrożenie hotfiksu.

W skrócie

• Identyfikator: CVE-2025-54236 („SessionReaper”), CVSS ~9.1/10.
• Wpływ: przejęcie sesji kont klientów, możliwe przejęcie instancji (RCE) zależnie od konfiguracji.
• Status: eksploatowana w środowisku produkcyjnym (wzrost skanów i włamań w dniach 22–23.10.2025).
• Łatka: APSB25-88 + hotfix (m.in. pakiet „VULN-32437-2-4-X-patch”).
• Skala ryzyka: wg Sansec nawet większość sklepów wciąż nie wdrożyła poprawki; odnotowano setki incydentów, a co najmniej 250+ sklepów miało zainfekowane serwery po nocnej fali ataków.

Kontekst / historia / powiązania

W 2024 r. platformy Adobe Commerce/Magento ucierpiały z powodu fali ataków na lukę CVE-2024-34102 („CosmicSting”), co zakończyło się tysiącami zhakowanych sklepów. SessionReaper jest przez badaczy oceniana jako porównywalnie poważna — wymaga równie szybkiej reakcji, aby uniknąć powtórki scenariusza z web-skimmerami na checkout’ach.

Analiza techniczna / szczegóły luki

• Klasa podatności: niewłaściwa walidacja danych wejściowych w komponencie Web API (ServiceInputProcessor) z wektorami prowadzącymi do przejęcia sesji i — w określonych warunkach — RCE.
• Warianty eksploatacji:
  • Sansec pokazał scenariusz nieautoryzowanego RCE i wskazał, że początkowo wykorzystywany tor był łatwiejszy w środowiskach z plikiem jako backendem sesji; jednocześnie podkreślono istnienie innych ścieżek.
  • Niezależna analiza (Searchlight Cyber) opisuje wewnętrzną logikę błędu (m.in. wątki „zagnieżdżonej deserializacji” i walidacji wejścia), sugerując wiele dróg do eskalacji, także poza plikowym storage’em sesji. Wniosek: patch jest konieczny niezależnie od konfiguracji sesji.
• Wskaźniki ataku (IOCs) i TTPs obserwowane w kampanii:
  • Upload webshelli PHP (lub sondy phpinfo()) przez ścieżki związane z API klienta, np. nadużyciem "/customer/address_file/upload" jako „fałszywej sesji”.
  • Przykładowe źródła skanów/ataków (wybrane IP) odnotowane w bieżącej fali: 34.227.25[.]4, 44.212.43[.]34, 54.205.171[.]35, 155.117.84[.]134, 159.89.12[.]166. (Adresy mogą szybko ulegać zmianie.)

Praktyczne konsekwencje / ryzyko

• Kompromitacja kont klientów (ATO), kradzież danych osobowych/płatniczych, wstrzyknięcie skimmerów JS na checkout’ach oraz pivot do dalszych segmentów infrastruktury.
• Ryzyko nadużyć komunikacyjnych (np. wysyłka phishingu z panelu newsletterów Magento po przejęciu admina).
• Ryzyko utraty reputacji i przychodów (downtime, chargebacki, kary regulacyjne).

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiast zaimplementuj poprawkę Adobe (APSB25-88 + hotfix).
   • Skorzystaj z oficjalnych pakietów i instrukcji Adobe (w tym VULN-32437-2-4-X-patch).
   • Uwaga: Adobe Commerce (Cloud) ma dodatkową ochronę WAF, ale nie zastępuje to instalacji łatki.
2. Wymuś ponowne logowanie i unieważnij sesje.
   • Zresetuj wszystkie aktywne sesje, zrotuj klucze/sekrety API oraz wymuś zmianę haseł kontom administracyjnym. (Działanie ogranicza skutki przejęcia sesji.)
3. Higiena API i twardnienie platformy:
   • Ogranicz uprawnienia Web API, włącz IP allowlisting dla endpointów administracyjnych, rozważ mTLS lub tokeny krótkiej ważności.
   • Wdróż reguły WAF/IDS pod kątem anomalii w ścieżkach customer/* i nietypowych uploadów.
4. Hunting i triage incydentów:
   • Sprawdź logi pod kątem żądań do "/customer/address_file/upload" i innych nietypowych endpointów, ładunków z multipart/form-data, podejrzanych plików .php w katalogach uploadu i media/.
   • Przejrzyj logi serwera www i PHP-FPM, porównaj mtime plików aplikacji, skanuj webroot pod kątem webshelli.
   • Koreluj z IP-ami wskazanymi w najnowszych raportach i z własnym telemetryką SIEM/EDR.
5. Monitoruj checkout pod kątem skimmerów i wprowadź CSP (Content Security Policy) z pinningiem do zaufanych domen oraz Subresource Integrity dla skryptów.
6. Testy regresji po patchu:
   • Przetestuj krytyczne przepływy (logowanie, rejestracja, koszyk, płatności, integracje ERP).
   • Monitoruj błędy integracji wywołane zaostrzeniem walidacji wejścia po łatce.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• CosmicSting (CVE-2024-34102, 2024 r.) wywołała masowe web-skimmingi po ujawnieniu PoC. SessionReaper jest przez badaczy określana jako porównywalnie dotkliwa (obok Shoplift 2015, Ambionics SQLi 2019, TrojanOrder 2022). Wspólny mianownik: szybka automatyzacja ataków po publikacji szczegółów. Różnica: wektor SessionReaper mocniej zahacza o logikę Web API i walidację wejścia/sesji, co stawia nacisk na higienę API i kontrolę sesji.

Podsumowanie / kluczowe wnioski

• To się dzieje teraz: 22–23 października 2025 r. obserwujemy realne nadużycia SessionReaper — nie czekaj z wdrożeniem poprawek.
• Patch + unieważnienie sesji + hunting IOCs to minimum operacyjne w najbliższych godzinach.
• Niezależnie od backendu sesji i architektury: załataj, utwardź API, monitoruj — i przygotuj plan reagowania na incydenty.

Źródła / bibliografia

• Adobe — Security update for Adobe Commerce (APSB25-88) i komunikat KCS/Experience League (hotfix i zalecenia). (Adobe Help Center)
• BleepingComputer — „Hackers exploiting critical ‘SessionReaper’ flaw in Adobe Magento” (22 października 2025). (BleepingComputer)
• Sansec — „SessionReaper, unauthenticated RCE in Magento & Adobe Commerce (CVE-2025-54236)”. (Sansec)
• The Hacker News — „Over 250 Magento Stores Hit Overnight…” (23 października 2025). (The Hacker News)
• Analiza techniczna — „Why nested deserialization is STILL harmful – Magento RCE (CVE-2025-54236)”. (Searchlight Cyber)