Οι επιθέσεις που αξιοποιούν την ευπάθεια «PolyShell» στην έκδοση 2 των εγκαταστάσεων Magento Open Source και Adobe Commerce βρίσκονται σε εξέλιξη, στοχεύοντας περισσότερα από τα μισά από όλα τα ευάλωτα καταστήματα.
Σύμφωνα με την εταιρεία ασφάλειας ηλεκτρονικού εμπορίου Sansec, οι χάκερ άρχισαν να εκμεταλλεύονται μαζικά το κρίσιμο ζήτημα PolyShell την περασμένη εβδομάδα, μόλις δύο ημέρες μετά τη δημόσια αποκάλυψη.
“Η μαζική εκμετάλλευση του PolyShell ξεκίνησε στις 19 Μαρτίου και η Sansec έχει πλέον βρει επιθέσεις PolyShell στο 56,7% όλων των ευάλωτων καταστημάτων.” Sansec λέει.
Οι ερευνητές ανέφεραν προηγουμένως ότι το πρόβλημα έγκειται στο REST API του Magento, το οποίο δέχεται μεταφορτώσεις αρχείων ως μέρος των προσαρμοσμένων επιλογών για το στοιχείο καλαθιού, επιτρέποντας στα αρχεία πολυγλωσσίας να επιτύχουν απομακρυσμένη εκτέλεση κώδικα ή ανάληψη λογαριασμού μέσω αποθηκευμένων σεναρίων μεταξύ τοποθεσιών (XSS), εάν το επιτρέπει η διαμόρφωση του διακομιστή web.
Η Adobe κυκλοφόρησε μια επιδιόρθωση στην έκδοση 2.4.9-beta1 στις 10 Μαρτίου 2026, αλλά δεν έχει φτάσει ακόμη στο σταθερό υποκατάστημα. Η BleepingComputer επικοινώνησε προηγουμένως με την Adobe για να ρωτήσει πότε μια ενημέρωση ασφαλείας που θα απευθύνεται στο PolyShell θα είναι διαθέσιμη για εκδόσεις παραγωγής, αλλά δεν έχουμε λάβει απάντηση.
Εν τω μεταξύ, η Sansec έχει δημοσίευσε μια λίστα με διευθύνσεις IP που στοχεύουν τη σάρωση για καταστήματα ιστού που είναι ευάλωτα στο PolyShell.
WebRTC skimmer
Η Sansec αναφέρει ότι σε ορισμένες από τις επιθέσεις που υποπτεύονται ότι εκμεταλλεύονται το PolyShell, ο ηθοποιός της απειλής παραδίδει ένα νέο skimmer κάρτας πληρωμής που χρησιμοποιεί Web Real-Time Communication (WebRTC) για την εξαγωγή δεδομένων.
Το WebRTC χρησιμοποιεί UDP κρυπτογραφημένο με DTLS αντί για HTTP, επομένως είναι πιο πιθανό να αποφύγει τους ελέγχους ασφαλείας ακόμη και σε ιστότοπους με αυστηρούς ελέγχους Πολιτικής Ασφάλειας Περιεχομένου (CSP) όπως “connect-src”.
Το skimmer είναι ένας ελαφρύς φορτωτής JavaScript που συνδέεται με έναν σκληρό κώδικα διακομιστή εντολών και ελέγχου (C2) μέσω WebRTC, παρακάμπτοντας την κανονική σηματοδότηση ενσωματώνοντας μια πλαστό ανταλλαγή SDP.
Λαμβάνει ένα ωφέλιμο φορτίο δεύτερου σταδίου μέσω του κρυπτογραφημένου καναλιού και, στη συνέχεια, το εκτελεί ενώ παρακάμπτει το CSP, κυρίως επαναχρησιμοποιώντας ένα υπάρχον σενάριο μηδενικά ή επαναλαμβάνοντας μη ασφαλή ή άμεση εισαγωγή σεναρίου. Η εκτέλεση καθυστερεί χρησιμοποιώντας το ‘requestIdleCallback’ για τη μείωση του εντοπισμού.
Η Sansec σημείωσε ότι αυτό το skimmer εντοπίστηκε στον ιστότοπο ηλεκτρονικού εμπορίου μιας αυτοκινητοβιομηχανίας αξίας άνω των 100 δισεκατομμυρίων δολαρίων, η οποία δεν ανταποκρίθηκε στις ειδοποιήσεις της.
Οι ερευνητές παρέχουν ένα σύνολο δεικτών συμβιβασμού που μπορούν να βοηθήσουν τους υπερασπιστές να προστατεύονται από αυτές τις επιθέσεις.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
