Начались атаки с использованием уязвимости «PolyShell» в версиях 2.x установок Magento Open Source и Adobe Commerce, нацеленные более чем на половину всех уязвимых магазинов.
По данным компании Sansec, специализирующейся на безопасности электронной коммерции, хакеры начали массово эксплуатировать критическую проблему PolyShell на прошлой неделе, всего через два дня после публичного раскрытия.
«Массовая эксплуатация PolyShell началась 19 марта, и Sansec обнаружила атаки PolyShell на 56,7% всех уязвимых магазинов», — сообщает Sansec.
Ранее исследователи сообщали, что проблема кроется в REST API Magento, который принимает загрузку файлов в качестве части пользовательских опций для элемента корзины, что позволяет полиглотным файлам добиться удаленного выполнения кода или захвата учетной записи посредством хранимого межсайтового скриптинга (XSS), если конфигурация веб-сервера это допускает.
Adobe выпустила исправление в версии 2.4.9-beta1 10 марта 2026 года, но оно еще не попало в стабильную ветку. BleepingComputer ранее обращалась к Adobe с вопросом о том, когда выйдет обновление безопасности, устраняющее PolyShell, для производственных версий, но ответа не получила.
Тем временем Sansec опубликовала список IP-адресов, которые сканируют веб-магазины на предмет уязвимости к PolyShell.
Скиммер WebRTC
Sansec сообщает, что в некоторых атаках, предположительно использующих PolyShell, злоумышленник доставляет новый скиммер платежных карт, который использует Web Real-Time Communication (WebRTC) для эксфильтрации данных.
WebRTC использует DTLS-зашифрованный UDP вместо HTTP, поэтому он с большей вероятностью обходит средства контроля безопасности даже на сайтах со строгими политиками Content Security Policy (CSP), такими как “connect-src”.
Скиммер представляет собой легковесный загрузчик JavaScript, который подключается к жестко закодированному командно-контрольному (C2) серверу через WebRTC, обходя нормальный сигналинг путем внедрения поддельного обмена SDP.
Он получает полезную нагрузку второго этапа по зашифрованному каналу, а затем выполняет ее, обходя CSP, в основном за счет повторного использования существующего nonce скрипта или переходя к unsafe-eval или прямой инъекции скрипта. Выполнение задерживается с помощью ‘requestIdleCallback’ для снижения уровня обнаружения.
Sansec отметила, что этот скиммер был обнаружен на веб-сайте электронной коммерции автопроизводителя стоимостью более 100 миллиардов долларов, который не отреагировал на их уведомления.
Исследователи предоставляют набор индикаторов компрометации, которые могут помочь защитникам обезопасить себя от этих атак.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
