Analisi riassuntiva
I ricercatori della sicurezza di Akamai hanno osservato un'attività in rete relativa alla vulnerabilità critica di input non corretti in Magento, denominata SessionReaper (CVE-2025-54236),
che è stata originariamente resa nota il 9 settembre 2025 in una pubblicazione di Adobe insieme ad una patch di emergenza. Il 22 ottobre 2025, è stata resa pubblica una PoC (Proof-of-Concept) dell'attacco, che ha determinato un notevole aumento dell'attività.
L'ubiquità e la storia delle vulnerabilità critiche di Magento lo rendono un bersaglio allettante per i criminali.
Dato l'uso diffuso di Magento e la natura critica di questa vulnerabilità, le organizzazioni devono applicare le patch fornite da Adobe il prima possibile.
- Akamai Adaptive Security Engine, la nostra soluzione WAF (Web Application Firewall), ha mitigato automaticamente i tentativi di exploit.
Che cos'è SessionReaper?
SessionReaper è il nome attribuito all'ultima vulnerabilità critica, che è stata resa nota con il codice CVE-2025-54236, presente in Magento, la piattaforma di e-commerce ampiamente utilizzata (ora nota come Adobe Commerce). Il problema viene descritto come un'errata verifica degli input degli utenti, che può essere sfruttata per ottenere il controllo delle sessioni.
Tuttavia, come dimostrato dalle PoC pubbliche, lo sfruttamento efficace della vulnerabilità SessionReaper può comportare anche un'esecuzione di codice remoto non autenticata.
Traffico degli attacchi osservato
I criminali hanno preso nota del momento in cui la PoC è stata resa pubblica. Nel corso di 48 ore, a partire dal 22 ottobre 2025, sono stati effettuati oltre 300 tentativi di sfruttamento contro oltre 130 diversi host. Questi tentativi di exploit hanno avuto origine da 11 diversi indirizzi IP.
I ricercatori della sicurezza di Akamai hanno osservato molti payload utilizzati in questi tentativi di exploit (Figura 1). I payload più dannosi sono web shell progettate per consentire ad un criminale di ottenere un accesso persistente al server web.
Fig. 1: SessionReaper web shell payloads
Inoltre, sono state osservate le classiche sonde phpinfo ed echo, una misura di ricognizione comunemente utilizzata dai criminali (Figura 2).
Fig. 2: SessionReaper phpinfo and echo probes
Mitigazione con Akamai App & API Protector
I tentativi di sfruttamento dell'attuale vulnerabilità SessionReaper sono mitigati dalle regole di Adaptive Security Engine esistenti, tra cui quelli che rilevano i tentativi di caricamento della web shell in PHP (Figura 3).
Fig. 3: Adaptive Security Engine rule 3000171 detecting a SessionReaper web shell upload attempt
L'Akamai Security Intelligence Group continuerà a monitorare attentamente la situazione e ad aggiornare i sistemi di protezione per i nostri clienti in base alle necessità.
Riepilogo
Akamai App & API Protector ha finora mitigato questi tentativi di attacco sferrati contro i clienti della nostra soluzione per la sicurezza. La difesa più efficace, comunque, consiste sempre nell'applicare tempestivamente le patch fornite dal proprio vendor. Data la gravità di questo problema, le patch devono essere applicate il prima possibile.
L'Akamai Security Intelligence Group continuerà a monitorare, segnalare e creare mitigazioni per minacce come queste per i clienti dell'azienda e per la più vasta comunità della sicurezza. Per tenervi aggiornati sulle ultime novità dell'Akamai Security Intelligence Group, potete consultare la nostra pagina relativa ai lavori di ricerca e seguirci sui social media.
Tag
