Onda de ataques a lojas Magento

A nova Onda de ataques ao Magento e a crise da janela de patch

A notícia de que mais de 250 lojas Magento foram invadidas nas últimas horas não é apenas mais uma estatística no cenário de cibersegurança; é a materialização de um dos nossos maiores temores como analistas: a exploração em massa de uma vulnerabilidade crítica antes que as vítimas tenham tido tempo — ou a iniciativa — de se proteger. O alerta da Sansec, detalhado pelo Caveira Tech, expõe uma verdade inconveniente sobre o ecossistema de e-commerce: a inovação anda lado a lado com o risco, e a falha em gerenciar esse risco tem consequências imediatas e devastadoras. O que estamos testemunhando com a exploração da CVE-2025-54236 é um ataque industrializado contra a espinha dorsal do varejo digital.

 

Dissecando o alvo: A gravidade da CVE-2025-54236 (SessionReaper)

Para entender o perigo, precisamos ir além dos números. A plataforma Adobe Commerce (Magento) é um alvo de altíssimo valor, processando milhões de transações e armazenando dados sensíveis de clientes. A vulnerabilidade em questão, apelidada de “SessionReaper”, não é uma falha trivial. Ela possui uma pontuação CVSS de 9.1 (Crítica), o que, em nossa linguagem, significa que ela é facilmente explorável, não requer autenticação prévia e seu impacto é total. Trata-se de uma falha de validação inadequada de inputs na API REST do Commerce. Em termos mais simples, um atacante pode enviar dados maliciosos para a plataforma e enganá-la para assumir o controle de contas de clientes ou, como revelado, escalar o ataque para algo muito pior.

 

A anatomia técnica do ataque: De validação de input a webshells

A análise da Sansec e da Searchlight Cyber é precisa. A falha é descrita como um problema de “desserialização aninhada”. Este é um vetor de ataque sofisticado onde o sistema não consegue validar corretamente os dados que recebe, permitindo que um atacante injete e execute código arbitrário (RCE – Remote Code Execution). Os ataques identificados não são sutis; eles têm um objetivo claro. Os IPs maliciosos estão usando a rota /customer/address_file/upload para enviar backdoors (webshells PHP) disfarçados de sessões falsas. Um webshell é, essencialmente, um painel de controle para o invasor, dando a ele acesso persistente ao servidor da loja. A partir daí, o atacante pode fazer qualquer coisa: roubar dados de clientes, interceptar pagamentos (skimming digital), apagar bancos de dados ou usar o servidor para atacar outros sites.

 

A crise da janela de patch: 62% ainda estão expostos

O dado mais alarmante do relatório é que, seis semanas após a Adobe ter lançado a correção, 62% das lojas Magento analisadas ainda permanecem vulneráveis. Esta é a “janela de patch”, o período crítico entre a divulgação de uma correção e a sua aplicação efetiva. Os cibercriminosos vivem nesta janela. Eles automatizam seus scanners e exploits para encontrar e atacar vítimas em massa no momento em que uma Prova de Conceito (PoC) se torna pública. A lentidão ou negligência na aplicação de patches de segurança não é mais uma falha processual; é uma vulnerabilidade de negócio. O fato de estarmos vendo a segunda falha crítica de desserialização (após a CosmicSting de 2024) mostra que este é um padrão de ataque que veio para ficar, e os administradores de Magento precisam estar em estado de alerta permanente.

 

Ações imediatas: O que fazer se você administra uma loja Magento

Se você é responsável por um e-commerce em Adobe Commerce ou Magento Open Source, o tempo de planejamento acabou. A ação deve ser imediata.

  • Aplique o patch agora: Esta é a prioridade zero. A Adobe já disponibilizou a correção. Não há desculpa para a exposição seis semanas após o lançamento.

  • Auditoria de arquivos e logs: Verifique seus logs de acesso em busca dos IPs maliciosos listados pela Sansec (34.227.25[.]4, 44.212.43[.]34, etc.). Procure por arquivos suspeitos em diretórios de upload, especialmente na rota /customer/address_file/upload. A presença de webshells PHP é um sinal claro de comprometimento.

  • Implemente um WAF: Um Web Application Firewall (WAF) robusto pode ser configurado para bloquear requisições suspeitas de desserialização e outros padrões de ataque conhecidos, agindo como uma camada de defesa vital enquanto o patch não é aplicado.

  • Monitore a configuração do PHP: O fato de os atacantes estarem acessando o phpinfo mostra que eles estão em fase de reconhecimento pós-invasão. Restrinja o acesso a esses arquivos de diagnóstico e monitore qualquer tentativa de acessá-los.

 

Conclusão

O incidente do SessionReaper é um duro lembrete de que a segurança de e-commerce é uma corrida armamentista. Os adversários estão organizados, rápidos e tecnicamente proficientes, explorando falhas complexas como a desserialização para obter controle total. A complacência com a gestão de patches é o maior aliado do cibercrime. A revelação de que mais de 250 lojas já foram atingidas é apenas a ponta do iceberg; o número real de sistemas vulneráveis é muito maior. Para sobreviver neste cenário, a segurança não pode ser um item em um checklist; ela deve ser um processo contínuo, proativo e, acima de tudo, rápido.

 

Referências Bibliográficas