Online-Shop-Betreiber mit Magento Open Source und Adobe Commerce Version 2 stellen eine echte und weit verbreitete Bedrohung dar: In den letzten Wochen gab es eine massive Ausbeutung einer kritischen Schwachstelle, die in der Community als "PolyShell" bekannt ist. Nach Angaben des Sicherheits-Untersuchungsteams von eCommerce Sansec gingen die Angriffe von rechtzeitigen Beweisen für eine aktive Kampagne innerhalb von Tagen nach dem Misserfolg öffentlich gemacht, und heute beeinflussen sie einen erheblichen Teil der verletzlichen Geschäfte.
PolyShell nutzt eine Schwachstelle in der Magento REST API, die es ermöglicht, Dateien in den benutzerdefinierten Warenkorb Optionen hochzuladen. Dieser Ladekanal kann "Polyclot"-Dateien akzeptieren - Dateien, die auf verschiedene Weise von dem Server und dem Browser interpretiert werden - die in bestimmten Server-Einstellungen ermöglicht es Ihnen, Code remote auszuführen oder persistente Skripte (gespeicherte XSS) injizieren, die die Rechenschaftspflicht oder die Injektion von Malware in die Zahlungsseiten erleichtern. Sansec-Forscher haben die Technik detailliert beschrieben und eine öffentliche Analyse der Art und Weise, wie diese Angriffe auftreten: Technische Analyse von Sansec.
Das Ausmaß des Problems ist beunruhigend: Sansec weist darauf hin, dass die Massenausbeutung um den 19. März begann und seitdem schädliche Aktivitäten in mehr als der Hälfte der Geschäfte, die noch verletzlich sind identifiziert haben. Das Unternehmen hat auch Verpflichtungsindikatoren und eine Liste von IP-Adressen veröffentlicht, die von Angreifern verwendet werden, um Websites für Eingangstüren zu scannen, nützliche Informationen für Response-Teams und Sicherheitsanbieter, die verdächtige Traffic blockieren oder Intrusionsversuche erkennen möchten.
Adobe reagierte, indem am 10. März 2026 ein Patch in einer Beta-Version des Produktes veröffentlicht wurde (Brems 2.4.9-beta1), aber diese Korrektur war noch nicht in der stabilen Version zum Zeitpunkt der Berichte verfügbar, so dass viele Produktionsanlagen ohne sofortige offizielle Lösung. Adobe dokumentiert die Änderungen und Notizen der Version auf ihrem Experience League Portal: Anmerkungen zu Version 2.4.9-beta1. Inzwischen haben Forscher und Journalisten versucht, sich über den Patch-Bereitstellungsplan in den Produktionsbereichen zu informieren.
Was das Bild noch komplizierter macht, ist die Natur von Malware, die einige Angreifer nach der Nutzung von PolyShell installieren. Sansec hat einen Karten-Surfer mit Web Real-Time Communication (WebRTC) als Kanal gefunden, um Daten zu extrahieren. Mit WebRTC können Angreifer Informationen über UDP über DTLS und nicht über HTTP übermitteln, wodurch es für die inhaltlichen richtlinienbasierten Steuerungen (CSP) schwierig ist, Exfiltration zu erkennen oder zu blockieren. Das schädliche Ladegerät ist ein sehr leichtes JavaScript, das eine Verbindung zu einem Befehls- und Steuerserver (C2) mit einem geschmiedeten SDP-Austausch festlegt, eine zweite verschlüsselte Stufe erhält und im Kontext der Seite läuft. Um seine Chancen auf das Ausweichen von Erkennungen zu erhöhen, verzögert die Komponente ihre Ausführung mit Techniken wie RequestIdleCallback und verwendet legitime Skripte Nicht-ces oder verwendet mehr riskante Techniken wie unsicher-eval oder direkte Injektion von Skripten, wenn erforderlich.
Sansec dokumentierte sogar die Präsenz dieses Skimmers im Online-Shop eines großen Automobilunternehmens mit einem Marktwert von über 100 Milliarden Dollar und warnte, dass einige Meldungen an die Opfer möglicherweise keine Antwort erhalten haben. Der Bericht von Sansec mit der technischen Spaltung des Skimmers und der damit verbundenen IP-Adressen ist hier verfügbar: WebRTC Skimmer - Sansec.
Was können Manager und Sicherheitsteams speichern? Obwohl die einzige endgültige Lösung darin besteht, das offizielle Patch anzuwenden, sobald Adobe es in den stabilen Zweig integriert, gibt es palliative Maßnahmen, die das Risiko reduzieren. Unter den dringenden Aktionen ist es, die Web-Server-Einstellungen zu überprüfen und zu verschärfen, um hochgeladene Dateien zu verhindern, Dateilasten von nicht-essentiellen Standorten zu beschränken oder zu deaktivieren und die REST API Endpunkte zu überwachen, die Cart-Optionen verwalten. Es wird auch empfohlen, die Verpflichtungsindikatoren zu verwenden, die Sansec zur Verfügung gestellt hat, um automatisierte Scanner Besuche zu erkennen und schädliche IP-Adressen auf Umfang zu blockieren. Es ist nicht notwendig, sich ausschließlich auf CSP-Richtlinien für diese Art von WebRTC-basierten Bedrohungen zu verlassen, so dass Sicherheitsteams durch Netzausgangskontrollen und Frontend-Verhaltensanalysen ergänzt werden sollten.
Die Lektion ist klar: eCommerce-Plattformen sind ein privilegiertes Ziel für Anmelde- und Skimmer-Diebe, weil ein einziges Engagement einen massiven Verlust von Zahlungsdaten und Reputationsschäden zur Folge haben kann. Mit Patches aufrechtzuerhalten, Transaktionsanomalien zu überwachen und bald auf die von Forschungsgruppen veröffentlichten Verpflichtungsindikatoren zu reagieren, erhöht die Wahrscheinlichkeit, diese Vorfälle zu erkennen und zu mildern, bevor sie schwere Schäden verursachen.
Für diejenigen, die die technischen Details vertiefen und die veröffentlichten IPs und IoCs-Listen erhalten möchten, wird Sansecs Bericht über PolyShell und WebRTCs Skimmer empfohlen Ressourcen: PolyShell - Sansec und WebRTC Skimmer - Sansec. Und um den Zustand des offiziellen Patches von Adobe zu kennen, sollten Sie die Notizen der Version auf Ihrem Portal folgen: Anmerkungen zu Version 2.4.9-beta1.
Wenn Sie einen Magento-basierten Speicher betreiben oder an seiner Sicherheit arbeiten, warten Sie nicht, dass die Explosion in Ihren Aufzeichnungen erscheint: es priorisiert die Risikobewertung und die Implementierung von Kompensator-Kontrollen jetzt. Dies ist keine theoretische Verwundbarkeit: der Angriff ist im Gange und die schlechten Akteure nutzen ihn bereits, um Kundendaten zu stehlen und automatisierte Kampagnen gegen ungeschützte Geschäfte einzurichten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...