Attackens omfattning
Förra veckan drabbades ett stort antal butiker som använder Magento eller Adobe Commerce av en av de mest omfattande och koordinerade hackerattackerna som plattformen har sett. Sårbarheten har döpts till SessionReaper och har beskrivits som en av de allvarligaste i Magentos historia. Attacken utnyttjar en kritisk bugg där obehöriga angripare kan ta över sessioner och i vissa konfigurationer även köra kod på servern, så kallad Remote Code Execution (RCE).
Vad är SessionReaper?
Sårbarheten spåras under beteckningen CVE-2025-54236 och har fått en CVSS-poäng på cirka 9,1, vilket motsvarar en kritisk nivå.
Problemet ligger i en bristande inmatningsvalidering i Magentos REST-API, i komponenten ServiceInputProcessor. Genom att manipulera data i API-anrop kan angripare ladda upp filer via särskilda endpoints, till exempel /customer/address_file/upload.
När butiken använder filbaserad sessionslagring ökar risken för att angriparen kan köra kod på servern.
Omfång och påverkan
Enligt säkerhetsföretaget Sansec har över 250 butiker redan drabbats inom ett dygn. Samtidigt uppskattas att omkring 60 % av alla Magentoinstallationer fortfarande är oskyddade, vilket innebär att risken för fler intrång är mycket hög.
De vanligaste konsekvenserna för angripna butiker är:
-
Kapade kundkonton
-
Obehöriga PHP-filer och webbshells
-
Stulen betal- och kunddata
-
Skimming-kod som injiceras i checkoutflödet
Vad bör du som butiksägare göra?
1. Uppdatera omgående. Installera Adobes säkerhetsuppdatering för CVE-2025-54236.
2. Genomför en säkerhetsscanning. Sök efter oväntade filer, ändrade sessioner och ovanliga API-anrop.
3. Se över sessionslagringen. Undvik filbaserad lagring och använd istället databas eller Redis.
4. Aktivera en web application firewall (WAF). Det minskar risken för automatiserade attacker.
5. Kontrollera kod och moduler. Säkerställ att alla anpassningar följer Magentos best practice och att systemet går att uppgradera utan konflikter.
6. Anpassa serverkonfigurationen för att begränsa potentiella angreppsvägar Utöver patchning och scanning bör serverkonfigurationen granskas noggrant.
Vissa sårbarheter kan utnyttjas även efter en uppdatering om systemet tillåter exekvering eller uppladdning på fel platser.
Se därför till att rättigheterna för känsliga kataloger är korrekt satta, att åtkomsten till riskfyllda endpoints är begränsad och att endast avsedda filtyper kan hanteras.
Sammanfattning
SessionReaper visar hur snabbt en sårbarhet kan utnyttjas när patchning dröjer. Till skillnad från många tidigare incidenter sker angreppen redan i stor skala och helt automatiserat. Butiker som ännu inte agerat bör se detta som akut. Att bara uppdatera eller patcha räcker inte alltid. En noggrann genomgång och eventuell sanering är ofta nödvändig för att säkerställa att ingen skadlig kod finns kvar.
Vår checklista är en bra start för att minska risken, men det är kombinationen av många olika faktorer som avgör hur skyddad en butik faktiskt är. Små detaljer i konfigurationen kan vara avgörande och kräver ofta expertkunskap för att identifieras och åtgärdas på rätt sätt.
Vi på New Amsterdam har djup teknisk erfarenhet av Magento och kan hjälpa till att analysera, säkra och återställa drabbade installationer på ett sätt som är anpassat till varje butiks unika förutsättningar.
