Hơn 200 website Magento bị chiếm quyền kiểm soát do lỗ hổng xác thực nghiêm trọng

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
125
1.561 bài viết
Hơn 200 website Magento bị chiếm quyền kiểm soát do lỗ hổng xác thực nghiêm trọng
WhiteHat Team
Một loạt hệ thống thương mại điện tử sử dụng Magento đã bị xâm nhập trong các chiến dịch tấn công quy mô lớn, khiến hơn 200 website trên toàn cầu rơi vào tình trạng bị kiểm soát hoàn toàn. Các vụ việc này khai thác một lỗ hổng nghiêm trọng mang mã CVE-2025-54236, còn được gọi là SessionReaper, hiện đang bị lạm dụng trên diện rộng đối với các hệ thống chưa được vá.
magento.png

Không dừng lại ở một chiến dịch đơn lẻ, CVE-2025-54236 đang trở thành mục tiêu chung của nhiều nhóm tin tặc khác nhau. Những hệ thống Magento phơi bày trực tiếp ra Internet nhanh chóng bị đưa vào tầm ngắm, tạo điều kiện để kẻ tấn công xâm nhập ngay từ bước đầu mà không cần xác thực.

Theo hãng, CVE-2025-54236 bắt nguồn từ sai sót khiến session token không bị vô hiệu hóa đúng thời điểm sau khi kết thúc phiên. Khi token này bị thu thập và tái sử dụng, cơ chế xác thực gần như mất tác dụng, đặc biệt đối với các tài khoản có quyền cao hoặc API quản trị. Chính điểm yếu này đã mở đường cho các hoạt động khai thác trên diện rộng. Trên thực tế, tin tặc tiến hành quét hàng loạt để xác định các API Magento tồn tại CVE-2025-54236, từ đó lập danh sách mục tiêu và tự động hóa quá trình tấn công. Hệ quả là hơn 200 website đã bị xâm nhập, trong đó nhiều hệ thống bị kiểm soát vượt ra ngoài phạm vi ứng dụng web thông thường.​

Thực tế ghi nhận, việc khai thác Magento chỉ là bước khởi đầu. Sau khi giành được quyền truy cập ban đầu, kẻ tấn công tiếp tục di chuyển sang các máy chủ phía sau, với dấu hiệu đọc trái phép các tệp hệ thống quan trọng. Diễn biến này phản ánh nguy cơ xâm nhập lan rộng, vượt xa phạm vi của một sự cố ở tầng ứng dụng.

Song song với các hoạt động quét và chiếm quyền trên diện rộng, một chiến dịch khác được ghi nhận tập trung vào các hệ thống Magento tại Canada và Nhật Bản. Thay vì khai thác nhanh rồi rút, nhóm này tận dụng CVE-2025-54236 để cài đặt web shell, nhằm duy trì quyền truy cập lâu dài và sẵn sàng quay lại kiểm soát hệ thống khi cần.

Việc lỗ hổng nhanh chóng bị nhiều nhóm khác nhau cùng khai thác cho thấy đây không còn là một rủi ro mang tính lý thuyết. Lỗ hổng này vừa tạo điều kiện cho truy cập trái phép ban đầu, vừa đóng vai trò bàn đạp cho các hoạt động xâm nhập sâu và duy trì kiểm soát lâu dài đối với hệ thống Magento chưa được cập nhật.

Trước việc hoạt động khai thác đang diễn ra tích cực và chưa có dấu hiệu hạ nhiệt, các quản trị viên Magento cần sớm áp dụng bản vá chính thức, đồng thời rà soát tài khoản quản trị, các phiên đăng nhập còn tồn tại và kiểm tra dấu hiệu của tệp lạ hoặc cơ chế duy trì quyền truy cập trái phép. Với các hệ thống đã bị xâm nhập, việc xử lý nên được thực hiện như một sự cố an ninh đầy đủ, thay vì chỉ vá lỗ hổng rồi tiếp tục vận hành.
Theo Cyber Press

 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • 3 lỗ hổng nghiêm trọng trong 1 tháng: SmarterMail soán ngôi “điểm nóng” tấn công mạng
  • SolarWinds vá loạt lỗ hổng trong Web Help Desk cho phép RCE và bỏ qua xác thực
  • Hai lỗ hổng nghiêm trọng trong n8n cho phép thực thi mã từ xa sau xác thực
  • Trả lời tin nhắn rác: Tưởng không sao mà lại rất "có sao"
  • Loạt lỗ hổng trong React Server Components đang bị khai thác diện rộng
  • Lỗ hổng WinRAR tiếp tục bị khai thác, tin tặc có thể cài mã độc chỉ qua một file nén
    • Thẻ
    cve-2025-54236 magento sessionreaper
    Bên trên