Synthèse
Les chercheurs en sécurité d'Akamai ont détecté une exploitation active de la faille critique d'entrée incorrecte dans Magento, connue sous le nom SessionReaper (CVE-2025-54236).
La faille a été signalée pour la première fois le 9 septembre 2025, dans une publication d'Adobe qui proposait un correctif d'urgence. Le 22 octobre 2025, une démonstration de faisabilité (POC) de l'exploitation a été diffusée publiquement, ce qui a conduit à une augmentation spectaculaire de l'activité.
Magento, très répandu et marqué par un passé de vulnérabilités critiques, constitue une cible privilégiée pour les attaquants.
Compte tenu de l'utilisation généralisée de Magento et de la nature critique de cette vulnérabilité, les entreprises doivent appliquer les correctifs fournis par Adobe dès que possible.
- Akamai Adaptive Security Engine, notre pare-feu d'applications Web (WAF), atténue les tentatives d'exploitation par défaut.
Qu'est-ce que SessionReaper ?
Répertoriée sous le numéro CVE-2025-54236, SessionReaper désigne la nouvelle vulnérabilité majeure qui touche la célèbre plateforme d'e-commerce Magento (désormais connu sous le nom Adobe Commerce). Il s'agit d'une faille de validation des entrées qui, si elle est exploitée, permet de prendre le contrôle d'une session.
Cependant, comme l'ont démontré les POC publiques, l'exploitation de SessionReaper peut également entraîner une exécution de code à distance non authentifiée.
Trafic d'attaques observé
Les attaquants ont appris l'existence de cette vulnérabilité avec la publication de la POC. Sur une période de 48 heures, à compter du 22 octobre 2025, on recense plus de 300 tentatives d'exploitation contre plus de 130 hôtes différents. Ces tentatives d'exploitation provenaient de 11 adresses IP différentes.
Les chercheurs en sécurité d'Akamai ont observé que plusieurs charges utiles ont été employées dans des tentatives d'exploitation (Figure 1). Les charges utiles ayant provoqué le plus de ravages sont des web shells conçus pour permettre à un acteur malveillant d'obtenir un accès persistant au serveur Web.
Fig. 1: SessionReaper web shell payloads
En outre, des sondes classiques phpinfo et echo, couramment utilisées par les attaquants pour la reconnaissance, ont été relevées (Figure 2).
Fig. 2: SessionReaper phpinfo and echo probes
Atténuation avec Akamai App & API Protector
Les règles en place d'Adaptive Security Engine permettent de contrer les attaques SessionReaper actuelles, notamment celles qui détectent les tentatives de téléversement de web shells PHP (Figure 3).
Fig. 3: Adaptive Security Engine rule 3000171 detecting a SessionReaper web shell upload attempt
Le groupe Security Intelligence d'Akamai continuera de surveiller la situation de près et de mettre à jour les protections de ses clients si nécessaire.
Synthèse
Akamai App & API Protector a jusqu'à présent été en mesure de neutraliser les tentatives d'attaque de ce type qui ciblaient nos clients. Toutefois, la méthode de défense la plus efficace consistera toujours à appliquer rapidement les correctifs offerts par le fournisseur. En raison de la gravité de cette faille, il est impératif d'appliquer les correctifs dès que possible.
Le groupe Security Intelligence d'Akamai continuera de surveiller, générer des rapports et créer des mesures d'atténuation des menaces telles que celles-ci pour nos clients et la communauté de sécurité dans son ensemble. Pour rester au fait des dernières actualités du groupe Security Intelligence d'Akamai, consultez notre page d'accueil de recherche et suivez-nous sur les réseaux sociaux.
Balises
