-
09/04/2020
-
117
-
1.220 bài viết
Hàng trăm cuộc khai thác SessionReaper nhắm Magento sau khi PoC bị rò rỉ
Akamai Security Intelligence Group vừa cảnh báo một lỗ hổng nghiêm trọng trong Adobe Commerce (Magento) mang mã định danh CVE-2025-54236, còn được biết đến với tên SessionReaper, ảnh hưởng đến cơ chế xử lý phiên của Commerce REST API. Lỗ hổng được đánh giá ở mức nghiêm trọng cao với điểm CVSS 9,1, cho phép kẻ tấn công chiếm đoạt phiên người dùng hợp lệ và trong một số cấu hình có thể chuỗi hóa thành thực thi mã từ xa không xác thực. Ngay sau khi PoC bị công khai, Akamai ghi nhận hơn 300 cuộc tấn công tự động trong vòng 48 giờ, nhắm vào hơn 130 máy chủ Magento trên toàn cầu.
Theo phân tích kỹ thuật, SessionReaper bắt nguồn từ lỗi kiểm tra đầu vào không đầy đủ trong cơ chế xử lý phiên của Magento, cụ thể là trong thành phần ServiceInputProcessor và các API REST. Ban đầu lỗ hổng được đánh giá chỉ dừng lại ở khả năng chiếm quyền phiên hợp lệ của người dùng, nhưng sau khi phân tích sâu hơn, các nhà nghiên cứu phát hiện kẻ tấn công có thể kết hợp lỗi này để thực thi mã PHP tùy ý trên máy chủ chưa vá. Khi kẻ xấu kiểm soát được phiên, chúng có thể thực hiện chuỗi lệnh nhằm chiếm toàn quyền truy cập hệ thống, mở đường cho các hành vi leo thang đặc quyền hoặc cài đặt mã độc.
Diễn biến tấn công cũng cho thấy tốc độ khai thác cực nhanh. Chỉ vài ngày sau khi PoC bị rò rỉ, hàng loạt máy chủ Magento trên khắp thế giới đã bị dò quét và tấn công tự động. Dữ liệu từ Akamai cho thấy nhiều gói tin “phpinfo” và “echo” được gửi đi để kiểm tra cấu hình máy chủ, tiếp theo là việc tải lên các web shell giúp kẻ tấn công duy trì quyền truy cập lâu dài. Một khi web shell được cài đặt, chúng có thể thao túng toàn bộ backend của Magento, trích xuất dữ liệu thanh toán, tạo tài khoản quản trị giả hoặc sử dụng hạ tầng bị chiếm làm bàn đạp cho các cuộc xâm nhập khác. Những chiến dịch kiểu này gợi nhớ đến các vụ Magecart hay Cardbleed trước đây, khi mã độc được chèn vào trang thanh toán để đánh cắp thông tin khách hàng.
Magento từ lâu đã là nền tảng thương mại điện tử quen thuộc, được tin dùng bởi hàng nghìn doanh nghiệp trên toàn cầu, cũng vì thế mà luôn nằm trong tầm ngắm của giới tấn công mạng. Từ các cửa hàng nhỏ đến doanh nghiệp quy mô lớn, bất kỳ hệ thống nào chậm vá cũng có thể trở thành mục tiêu. Tại Việt Nam, theo Store Leads, tính đến quý 3/2025 có 733 cửa hàng Magento đang hoạt động, chủ yếu là doanh nghiệp vừa và nhỏ trong lĩnh vực bán lẻ, thời trang và công nghệ, đây cũng là nhóm dễ bị tổn thương nhất trước những cuộc khai thác quy mô lớn như SessionReaper.
Theo đánh giá của các chuyên gia Bkav, lỗ hổng CVE-2025-54236 có mức độ rủi ro đặc biệt cao khi mã khai thác PoC bị rò rỉ và nhanh chóng bị tin tặc lợi dụng, khiến thời gian phản ứng hữu hiệu chỉ còn tính bằng ngày. Một khi máy chủ bị chiếm quyền, rủi ro không chỉ dừng ở việc mất dữ liệu khách hàng mà còn kéo theo thiệt hại tài chính, gián đoạn kinh doanh và ảnh hưởng nghiêm trọng đến uy tín thương hiệu. Thậm chí, nhiều hệ thống có thể bị lợi dụng làm bàn đạp để phát tán mã độc hoặc thực hiện tấn công vào bên thứ ba.
Trước mức độ nghiêm trọng của lỗ hổng, chuyên gia Bkav khuyến nghị các quản trị viên cần:
Theo Security Online
Theo phân tích kỹ thuật, SessionReaper bắt nguồn từ lỗi kiểm tra đầu vào không đầy đủ trong cơ chế xử lý phiên của Magento, cụ thể là trong thành phần ServiceInputProcessor và các API REST. Ban đầu lỗ hổng được đánh giá chỉ dừng lại ở khả năng chiếm quyền phiên hợp lệ của người dùng, nhưng sau khi phân tích sâu hơn, các nhà nghiên cứu phát hiện kẻ tấn công có thể kết hợp lỗi này để thực thi mã PHP tùy ý trên máy chủ chưa vá. Khi kẻ xấu kiểm soát được phiên, chúng có thể thực hiện chuỗi lệnh nhằm chiếm toàn quyền truy cập hệ thống, mở đường cho các hành vi leo thang đặc quyền hoặc cài đặt mã độc.
Diễn biến tấn công cũng cho thấy tốc độ khai thác cực nhanh. Chỉ vài ngày sau khi PoC bị rò rỉ, hàng loạt máy chủ Magento trên khắp thế giới đã bị dò quét và tấn công tự động. Dữ liệu từ Akamai cho thấy nhiều gói tin “phpinfo” và “echo” được gửi đi để kiểm tra cấu hình máy chủ, tiếp theo là việc tải lên các web shell giúp kẻ tấn công duy trì quyền truy cập lâu dài. Một khi web shell được cài đặt, chúng có thể thao túng toàn bộ backend của Magento, trích xuất dữ liệu thanh toán, tạo tài khoản quản trị giả hoặc sử dụng hạ tầng bị chiếm làm bàn đạp cho các cuộc xâm nhập khác. Những chiến dịch kiểu này gợi nhớ đến các vụ Magecart hay Cardbleed trước đây, khi mã độc được chèn vào trang thanh toán để đánh cắp thông tin khách hàng.
Magento từ lâu đã là nền tảng thương mại điện tử quen thuộc, được tin dùng bởi hàng nghìn doanh nghiệp trên toàn cầu, cũng vì thế mà luôn nằm trong tầm ngắm của giới tấn công mạng. Từ các cửa hàng nhỏ đến doanh nghiệp quy mô lớn, bất kỳ hệ thống nào chậm vá cũng có thể trở thành mục tiêu. Tại Việt Nam, theo Store Leads, tính đến quý 3/2025 có 733 cửa hàng Magento đang hoạt động, chủ yếu là doanh nghiệp vừa và nhỏ trong lĩnh vực bán lẻ, thời trang và công nghệ, đây cũng là nhóm dễ bị tổn thương nhất trước những cuộc khai thác quy mô lớn như SessionReaper.
Theo đánh giá của các chuyên gia Bkav, lỗ hổng CVE-2025-54236 có mức độ rủi ro đặc biệt cao khi mã khai thác PoC bị rò rỉ và nhanh chóng bị tin tặc lợi dụng, khiến thời gian phản ứng hữu hiệu chỉ còn tính bằng ngày. Một khi máy chủ bị chiếm quyền, rủi ro không chỉ dừng ở việc mất dữ liệu khách hàng mà còn kéo theo thiệt hại tài chính, gián đoạn kinh doanh và ảnh hưởng nghiêm trọng đến uy tín thương hiệu. Thậm chí, nhiều hệ thống có thể bị lợi dụng làm bàn đạp để phát tán mã độc hoặc thực hiện tấn công vào bên thứ ba.
Trước mức độ nghiêm trọng của lỗ hổng, chuyên gia Bkav khuyến nghị các quản trị viên cần:
- Cập nhật ngay bản vá chính thức từ Adobe để đóng điểm yếu trước khi bị khai thác
- Bật cơ chế lọc tấn công ở tầng ứng dụng (WAF) nhằm giảm nguy cơ trong giai đoạn triển khai vá
- Rà soát toàn bộ hệ thống để phát hiện dấu hiệu xâm nhập, chẳng hạn các tệp PHP lạ trong thư mục /pub/media/ hoặc /var/tmp/, tài khoản quản trị mới xuất hiện, hay cấu hình bất thường trong env.php và .htaccess
- Cách ly và phục hồi từ bản sao lưu sạch nếu phát hiện máy chủ bị chiếm quyền, đồng thời thay đổi toàn bộ mật khẩu và khóa truy cập liên quan
- Tăng cường giám sát và vá định kỳ, bảo đảm không còn điểm yếu tồn dư có thể bị lợi dụng trở lại
Theo Security Online