Gli esperti di sicurezza informatica hanno lanciato l’allarme: una vulnerabilità critica in Adobe Commerce e Magento Open Source sta subendo attacchi attivi su scala globale. In sole 24 ore sono stati registrati oltre 250 tentativi di sfruttamento della falla di sicurezza identificata come CVE-2025-54236, nota anche con il nome di SessionReaper. La situazione è particolarmente preoccupante perché il 62% dei negozi online che utilizzano queste piattaforme risulta ancora privo di protezione, nonostante siano trascorse sei settimane dalla pubblicazione della patch di sicurezza da parte di Adobe.
Cosa fare immediatamente: se gestisci un negozio online basato su Magento o Adobe Commerce, verifica subito la versione installata e applica immediatamente gli aggiornamenti di sicurezza rilasciati da Adobe il 9 settembre 2025. Monitora i log del server alla ricerca di attività sospette provenienti dagli indirizzi IP associati agli attacchi. Considera l’implementazione di un firewall applicativo web (WAF) come Cloudflare che ha già rilasciato regole di rilevamento specifiche per questa minaccia.
La vulnerabilità SessionReaper: una minaccia concreta
La vulnerabilità CVE-2025-54236 rappresenta una falla di sicurezza estremamente pericolosa che ha ottenuto un punteggio CVSS di 9.1, classificandola come critica. Si tratta di un problema di validazione impropria dell’input che consente agli attaccanti di assumere il controllo degli account dei clienti attraverso l’API REST di Commerce. La gravità della situazione è amplificata dal fatto che, in determinate configurazioni che utilizzano l’archiviazione delle sessioni basata su file, la vulnerabilità può essere sfruttata per ottenere l’esecuzione di codice remoto da parte di utenti non autenticati.
La scoperta della vulnerabilità è stata effettuata da un ricercatore di sicurezza noto con lo pseudonimo di Blaklis, che ha seguito le procedure di divulgazione responsabile informando Adobe prima della pubblicazione pubblica. Adobe aveva inizialmente rilasciato una patch di emergenza il 9 settembre 2025, dopo che i dettagli tecnici erano trapelati accidentalmente la settimana precedente. All’epoca della pubblicazione dell’advisory di sicurezza, non esistevano prove di sfruttamento attivo in natura, ma la situazione è rapidamente cambiata nelle ultime ore.
L’ondata di attacchi in corso
La società olandese Sansec, specializzata nella sicurezza dell’e-commerce, ha documentato l’inizio degli attacchi attivi mercoledì 23 ottobre 2025, registrando oltre 250 tentativi di sfruttamento diretti contro molteplici negozi online. Gli attacchi provengono da diversi indirizzi IP identificati, tra cui 34.227.25.4, 44.212.43.34, 54.205.171.35, 155.117.84.134 e 159.89.12.166. Gli attaccanti stanno utilizzando la vulnerabilità per caricare backdoor PHP sul server o per sondare le configurazioni PHP attraverso phpinfo, estraendo informazioni sensibili sulla configurazione del sistema.
Le backdoor PHP vengono caricate attraverso l’endpoint vulnerabile ‘/customer/address_file/upload’ mascherandosi come falsa sessione utente. Questa tecnica permette agli aggressori di mantenere l’accesso persistente ai sistemi compromessi anche dopo eventuali riavvii del server o altre misure di mitigazione temporanee. Una volta installata la backdoor, gli attaccanti possono eseguire comandi arbitrari sul server, rubare dati sensibili dei clienti, modificare il contenuto del negozio online o utilizzare il server compromesso come trampolino di lancio per ulteriori attacchi.
Le versioni vulnerabili
La vulnerabilità interessa un’ampia gamma di versioni di Adobe Commerce e Magento Open Source. Per quanto riguarda Adobe Commerce e Magento Open Source, sono vulnerabili le versioni 2.4.9-alpha2 e precedenti, 2.4.8-p2 e precedenti, 2.4.7-p7 e precedenti, 2.4.6-p12 e precedenti, 2.4.5-p14 e precedenti, e 2.4.4-p15 e precedenti. Adobe Commerce B2B è affetto nelle versioni 1.5.3-alpha2 e precedenti, 1.5.2-p2 e precedenti, 1.4.2-p7 e precedenti, 1.3.4-p14 e precedenti, e 1.3.3-p15 e precedenti.
Considerando la diffusione di Magento, stimata su oltre 130.000 siti web in tutto il mondo, l’impatto potenziale di questa vulnerabilità è enorme. Magento rimane una delle soluzioni di e-commerce più popolari su internet, utilizzata da piccole e medie imprese fino a grandi multinazionali per gestire le loro operazioni di vendita online.
Analisi tecnica della vulnerabilità
Gli esperti di sicurezza di Searchlight Cyber hanno pubblicato un’analisi tecnica dettagliata che descrive CVE-2025-54236 come una vulnerabilità di deserializzazione nidificata che abilita l’esecuzione di codice remoto. Il problema risiede nel modo in cui l’applicazione gestisce i dati serializzati forniti dall’utente, consentendo a un attaccante di iniettare codice malevolo che viene poi eseguito dal server quando i dati vengono deserializzati.
Questa non è la prima volta che piattaforme Adobe Commerce e Magento affrontano problematiche di deserializzazione. Nel luglio 2024, un’altra vulnerabilità critica soprannominata CosmicSting (CVE-2024-34102) con punteggio CVSS di 9.8 era stata oggetto di sfruttamento diffuso. La ricorrenza di questo tipo di vulnerabilità sottolinea la necessità di una revisione approfondita del codice e di pratiche di sviluppo più sicure per prevenire problemi simili in futuro.
La pericolosità di CVE-2025-54236 è aggravata dalla disponibilità di proof-of-concept (PoC) pubblici e dalla pubblicazione di dettagli tecnici specifici. Con queste informazioni ora di dominio pubblico, anche attaccanti con competenze tecniche limitate possono tentare di sfruttare la vulnerabilità, aumentando significativamente il rischio per i negozi online non protetti.
Risposta dell’industria della sicurezza
Di fronte all’escalation degli attacchi, diversi fornitori di sicurezza hanno rilasciato contromisure. Cloudflare ha emesso un aggiornamento di emergenza per il suo Web Application Firewall (WAF) il 23 ottobre 2025, migliorando le firme di rilevamento per fornire una protezione più resiliente contro i tentativi di sfruttamento. La nuova regola di rilevamento è stata aggiunta al Cloudflare Managed Ruleset con azione di blocco predefinita, identificando e bloccando automaticamente i tentativi di sfruttamento di CVE-2025-54236.
Adobe stessa ha aggiornato il suo advisory di sicurezza per confermare che la vulnerabilità è attivamente sfruttata in natura. Questo riconoscimento ufficiale sottolinea l’urgenza della situazione e la necessità per gli amministratori di sistema di agire immediatamente. L’advisory di Adobe classifica l’aggiornamento con priorità 2, indicando che la vulnerabilità è stata o viene attivamente sfruttata su un numero limitato di obiettivi mirati.
Implicazioni per la sicurezza dell’e-commerce
Le conseguenze potenziali di uno sfruttamento riuscito di questa vulnerabilità sono gravi e molteplici. Gli attaccanti possono dirottare le sessioni utente, eseguire comandi arbitrari sui server compromessi, rubare dati sensibili dei clienti incluse informazioni di pagamento, modificare il contenuto del negozio per condurre attacchi di phishing o distribuire malware ai visitatori, e causare interruzioni operative che possono danneggiare la reputazione del brand e causare perdite finanziarie significative.
La situazione è particolarmente critica considerando che il 62% dei negozi Magento rimane vulnerabile sei settimane dopo la divulgazione pubblica della vulnerabilità. Questo dato evidenzia una preoccupante mancanza di tempestività nell’applicazione delle patch di sicurezza da parte di molti amministratori di sistema. I motivi di questo ritardo possono essere molteplici: mancanza di risorse dedicate alla sicurezza, timore di interruzioni del servizio durante l’aggiornamento, sottovalutazione del rischio, o semplicemente mancanza di consapevolezza dell’esistenza della vulnerabilità.
Confronto con CosmicSting
È significativo notare che CVE-2025-54236 è la seconda vulnerabilità di deserializzazione che colpisce le piattaforme Adobe Commerce e Magento in appena due anni. La precedente falla, CosmicSting (CVE-2024-34102), aveva ricevuto un punteggio CVSS ancora più elevato di 9.8 ed era stata oggetto di sfruttamento diffuso nel luglio 2024. La ricorrenza di vulnerabilità simili solleva interrogativi sulla robustezza delle pratiche di sicurezza nello sviluppo di queste piattaforme e sulla necessità di audit di sicurezza più approfonditi.
Entrambe le vulnerabilità sfruttano problematiche nella gestione della deserializzazione dei dati, un vettore di attacco ben noto che dovrebbe essere attentamente controllato durante lo sviluppo del software. La presenza di vulnerabilità simili suggerisce che potrebbero esistere pattern di codice insicuri nel codebase che necessitano di essere identificati e corretti sistematicamente.
Raccomandazioni e azioni da intraprendere
La situazione richiede azione immediata da parte di tutti gli amministratori di negozi online che utilizzano Adobe Commerce o Magento Open Source. Applica immediatamente gli aggiornamenti di sicurezza rilasciati da Adobe il 9 settembre 2025. Non rimandare questa operazione: ogni giorno di ritardo aumenta significativamente il rischio di compromissione.
Implementa un firewall applicativo web (WAF) se non ne hai già uno. Soluzioni come Cloudflare offrono protezione specifica contro questa vulnerabilità e possono fornire un livello di difesa aggiuntivo anche durante la finestra di vulnerabilità prima dell’applicazione delle patch.
Monitora attivamente i log del server alla ricerca di attività sospette, in particolare richieste dirette agli endpoint ‘/customer/address_file/upload’ e tentativi di accesso da parte degli indirizzi IP noti associati agli attacchi. Configura alert automatici per rilevare comportamenti anomali.
Verifica l’integrità del sistema se sospetti di essere stato compromesso. Cerca file PHP non autorizzati, modifiche non previste ai file di sistema, processi sospetti in esecuzione e connessioni di rete anomale. Se rilevi segni di compromissione, considera di consultare esperti di incident response.
Implementa il principio del minimo privilegio per tutti gli account utente e di sistema, limitando i permessi solo a quelli strettamente necessari per le operazioni legittime. Questo può limitare l’impatto di una eventuale compromissione.
Mantieni aggiornato un backup sicuro e testato dei tuoi dati e della configurazione del sistema. In caso di compromissione grave, poter ripristinare rapidamente da un backup pulito può essere cruciale per minimizzare i tempi di inattività e la perdita di dati.
Considera l’utilizzo di sistemi di archiviazione delle sessioni basati su Redis invece dell’archiviazione basata su file, quando possibile. Anche se le istanze Redis potrebbero comunque essere vulnerabili, l’esecuzione di codice remoto è generalmente più difficile rispetto alle configurazioni basate su file.
Stabilisci procedure formali per la gestione delle vulnerabilità che includano il monitoraggio proattivo degli advisory di sicurezza, la valutazione rapida dell’impatto sulle tue installazioni, e l’applicazione tempestiva delle patch. La sicurezza non può essere un’attività occasionale ma deve essere integrata nei processi operativi standard.
Effettua audit di sicurezza periodici delle tue installazioni Magento/Adobe Commerce, preferibilmente da parte di professionisti della sicurezza qualificati che possano identificare configurazioni insicure, plugin vulnerabili e altre potenziali problematiche prima che vengano sfruttate dagli attaccanti.
Fonte: https://cybersecuritynews.com/adobe-magento-rce-vulnerability-exploited
