内容提要
Akamai 安全研究人员发现了 Magento 中称为会话收割者 (CVE-2025-54236) 的严重输入验证漏洞在野利用活动。
该漏洞最初是在 2025 年 9 月 9 日通过 Adobe 的通报公布的,其中包含了紧急补丁程序。漏洞利用概念验证 (POC) 在 2025 年 10 月 22 日被公开,导致攻击活动急剧增加。
Magento 的普遍应用和过往严重漏洞频发的记录,使其成为攻击者眼中极具吸引力的目标。
鉴于 Magento 的普遍应用和此漏洞的严重性质,各企业应尽快应用 Adobe 提供的补丁程序。
- 我们的 Web 应用程序防火墙 (WAF) Akamai Adaptive Security Engine 已默认启用漏洞利用尝试抵御措施。
“会话收割者”是什么?
“会话收割者”以 CVE-2025-54236 发布,是指广泛使用的电子商务平台 Magento(现称为 Adobe Commerce)中最新出现的严重漏洞。该漏洞被描述为一种输入验证不当漏洞,可被滥用以实现会话接管。
然而,如公开的概念验证 (POC) 所示,成功利用“会话收割者”还会导致未经身份验证的远程代码执行。
观察到的攻击流量
自概念验证公开以来,攻击者便伺机而动。从 2025 年 10 月 22 日开始的 48 小时内,已发现针对 130 多台不同主机发起了超过 300 次漏洞利用尝试。这些漏洞利用尝试源自 11 个不同的 IP 地址。
Akamai 安全研究人员观察到漏洞利用尝试中使用了多个攻击载荷(图 1)。Web shell 是破坏性最大的攻击载荷,其旨在允许攻击者持久访问 Web 服务器。
Fig. 1: SessionReaper web shell payloads
另外,我们还观察到攻击者使用了经典的 phpinfo 和 echo 探测,这是一种常见的侦察措施(图 2)。
Fig. 2: SessionReaper phpinfo and echo probes
利用 Akamai App & API Protector 抵御漏洞
现有的 Adaptive Security Engine 规则(包括用于检测 PHP Web shell 上传尝试的规则)可以防范当前的“会话收割者”漏洞利用尝试(图 3)。
Fig. 3: Adaptive Security Engine rule 3000171 detecting a SessionReaper web shell upload attempt
Akamai 安全情报组将继续密切监控这种情况,并根据需要为我们的客户更新防护措施。
总结
标签
