SessionReaper mette a rischio gli e-commerce: allarme sicurezza su Magento e Adobe Commerce

Allarme sicurezza su Magento e Adobe Commerce: SessionReaper mette a rischio gli e-commerce

SessionReaper è una nuova e pericolosissima vulnerabilità scoperta su Magento e Adobe Commerce che può esporre i negozi online a furti di dati, accesso non autorizzato agli account dei clienti e gravi perdite economiche. La gravità di SessionReaper è tale che Adobe ha rilasciato, in via straordinaria, una patch di emergenza fuori dal consueto ciclo di aggiornamenti.
Se hai un e-commerce con queste piattaforme: aggiorna SUBITO alla versione patchata, monitora i log, limita le funzionalità delle API inutilizzate ed implementa soluzioni di sicurezza aggiuntive!
Ogni minuto di ritardo nell’intervento aumenta il rischio di compromissione: SessionReaper è già tra le vulnerabilità più critiche mai registrate su Magento.

Che cos’è SessionReaper?

SessionReaper, identificata come CVE-2025-54236, colpisce i sistemi Magento e Adobe Commerce. La vulnerabilità ha ricevuto il massimo livello di allarme (CVSS 9.1 su 10), poiché permette agli aggressori di sfruttare una falla nell’input validation del Web API per:

  • prendere il controllo degli account cliente;
  • effettuare ordini fraudolenti;
  • rubare dati sensibili (inclusi dati di pagamento);
  • manipolare privilegi di amministrazione e comprometterne la sicurezza generale;
  • aggirare le protezioni standard senza la necessità di credenziali valide.

La funzione colpita da SessionReaper è il ServiceInputProcessor delle API Web di Magento: gli attaccanti, inviando richieste artatamente costruite, possono aggirare i controlli ed eseguire operazioni come fossero utenti autenticati a tutti gli effetti.

Prodotti e versioni coinvolte

La falla impatta un ampio spettro di versioni, tra cui:

  • Adobe Commerce: tutte le versioni fino alla 2.4.9-alpha2 e precedenti
  • Magento Open Source: fino alla 2.4.9-alpha2 e precedenti
  • Adobe Commerce B2B: fino alla 1.5.3-alpha2 e precedenti
  • Modulo Custom Attributes Serializable: versioni 0.1.0 fino a 0.4.0

Questo rende particolarmente vulnerabili non solo i grandi e-commerce, ma anche negozi medi e piccoli che utilizzano versioni non aggiornate delle suddette piattaforme.

Gravità e minacce pratiche

SessionReaper viene già paragonata alle vulnerabilità più devastanti della storia di Magento, come Shoplift (2015), Ambionics SQLi (2019) e TrojanOrder (2022). In ogni caso, dopo la divulgazione pubblica, migliaia di store furono compromessi in poche ore.

  • Automatizzazione dell’attacco: Gli esperti segnalano che kit di exploit automatici appariranno rapidamente, facilitando attacchi di massa e anche da parte di criminali non particolarmente esperti.
  • Obiettivo principale: acquisizione di sessioni utente, furto di account, esfiltrazione di informazioni di pagamento e installazione di codice malevolo.
  • Effetto a catena: oltre al danno immediato, sono probabili effetti negativi su reputazione, fiducia dei clienti e sanzioni GDPR per i dati persi.

Come agisce l’attacco

Gli attaccanti sfruttano l’insufficiente controllo dei dati inviati alle API REST di Magento/B2B/Adobe Commerce. Tramite chiamate specifiche, riescono a impersonare clienti esistenti, accedere alle relative aree riservate e, in alcuni casi, elevare i privilegi per compromettere completamente il negozio.

In pratica, non è necessario indovinare le password: è sufficiente conoscere come interagire con la piattaforma sfruttando la vulnerabilità per assumere il controllo di una sessione esistente o generare una nuova senza autorizzazione.

Comunicazione e risposta di Adobe

  • Il 22 agosto Adobe ha cominciato lo sviluppo della patch interna.
  • Il 4 settembre solo i clienti business (Adobe Commerce) sono stati avvisati privatamente, scatenando critiche per la mancanza di trasparenza verso la comunità open source.
  • Il 9 settembre la patch è stata finalmente pubblicata per tutti: il rilascio anticipato rispetto al tradizionale ciclo mensile conferma la gravità della minaccia.

Adobe raccomanda:

  • Applicare immediatamente la patch ufficiale.
  • Monitorare continuamente i log delle API e degli accessi utente per scovare eventuali anomalie o attività sospette.
  • Se non si può aggiornare subito, limitare o disabilitare temporaneamente le API esposte che non sono strettamente necessarie.

Soluzioni e mitigazioni

Patch:
La correzione ufficiale (patch di emergenza per CVE-2025-54236) è stata rilasciata il 9 settembre sul portale sicurezza Adobe. Chi utilizza versioni vulnerabili DEVE aggiornare prima possibile. A scopo cautelativo, non si consiglia di affidarsi a patch “fai da te” o non ufficialmente verificate che stanno circolando online.

Monitoraggio e rilevamento:
Chi non può aggiornare subito, deve rafforzare il monitoraggio di:

  • Log delle API
  • Accessi utente
  • Creazione di sessioni sospette
  • Attività amministrative non usuali

Hardening delle API:
Disabilitare endpoint WebAPI non necessari. Applicare filtri IP o autenticazioni ulteriori dove possibile, in attesa dell’aggiornamento definitivo.

Soluzioni di sicurezza aggiuntive:
Prodotti come Sansec Shield hanno già integrato protezioni specifiche contro SessionReaper. Valutare l’adozione di strumenti di monitoraggio e mitigazione di terze parti, soprattutto su store di grandi dimensioni.

Impatti nel mondo reale

Le grandi piattaforme di e-commerce, che fatturano milioni di euro/dollari al giorno, sono particolarmente esposte, ma anche negozi di medie/piccole dimensioni possono subire danni irreparabili.
Nel passato recenti vulnerabilità simili sono state sfruttate già nelle prime 24 ore; la rapidità di reazione questa volta può fare la differenza tra una giornata di business come tante e una crisi di sicurezza di proporzioni devastanti.

Consigli pratici immediati (per tutti gli amministratori e-commerce)

  • Aggiorna SUBITO alle versioni patchate (controlla versioni e changelog del tuo CMS Magento/Adobe Commerce).
  • Monitora costantemente i log di sistema e dei servizi API per segnalare eventuali accessi o comportamenti anomali.
  • Riduci l’esposizione delle Web API: disabilita funzioni non essenziali finché non hai aggiornato tutto.
  • Rafforza la sicurezza degli accessi: impiega autenticazione a più fattori anche per amministratori e staff.
  • Informa i tuoi clienti in caso di sospette compromissioni degli account e procedi con reset delle password se necessario.

Approfondimento: consigli/azioni tecniche e strategiche

Per esperti e responsabili IT:

  • Implementa un piano di patch management formale: monitora periodicamente bollettini sicurezza su vendor (Adobe, Magento Security Center).
  • Effettua backup frequenti di database e configurazioni critiche, con test di ripristino periodici, per minimizzare l’impatto in caso di exploit riuscito.
  • Automatizza il controllo delle integrità dei file (con strumenti come Tripwire, OSSEC, ecc.) per rilevare modifiche non autorizzate al codice delle piattaforme.
  • Configura sistemi IDS/IPS (Intrusion Detection/Prevention) per riconoscere pattern di attacco alle API Magento/Adobe Commerce.
  • Verifica ed elimina moduli di terze parti inutilizzati o a rischio, perché possono aumentare la superficie d’attacco se privi di patch tempestiva.
  • Collabora con partner e fornitori gestiti per assicurarsi che anche componenti esterni (plugin, gateway di pagamento, servizi cloud) seguano le stesse best practice di aggiornamento e monitoraggio.
  • Stabilisci procedure di risposta a incidenti: chi è autorizzato a chiudere le API, chi avvisa i clienti e come viene gestita la comunicazione pubblica in caso di violazione.

La sicurezza degli store online dipende dal tempo di reazione e dalla qualità delle procedure adottate dopo la segnalazione: aggiornare rapidamente, monitorare costantemente e prevedere strategie di risposta sono oggi più che mai ESSENZIALI per evitare danni da SessionReaper.

Fonte: https://cybersecuritynews.com/sessionreaper-vulnerability

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto