Over 200 Magento Stores Compromised In Rootkit Rampage via Zero-Day Exploit
2026/01/30 gbhackers — Magento を利用する EC プラットフォームを標的として、脆弱性 CVE-2025-54236 を悪用する危険な攻撃キャンペーンが確認された。この SessionReaper と呼ばれる脆弱性を悪用する攻撃者は、無効化されたはずのセッション・トークンを再利用することで認証をバイパスし、セッションをハイジャックすることでサーバ全体の完全な奪取を引き起こす。
研究者たちが確認したのは、世界各地の Magento サイトを標的とする複数の侵入キャンペーンであり、200 以上のオンライン・ストアが root 権限レベルで侵害された。最も深刻な事例では、攻撃者が 1,460 件の脆弱な Magento Commerce API をスキャンして標的化していた。
この攻撃者は、窃取した API を “success_api_2025.txt” というファイルに一覧化し、攻撃対象として管理していた。このリストの中で、完全に侵害された Web サイトは 216 件に達している。
侵害された各サイトからは、”/etc/passwd” を模倣するファイルが取得されており、ユーザー・アカウント情報が列挙され、root 権限取得が確認されている。Oasis Security が示した証拠は、それぞれのサーバに対する事実上の完全支配権を、攻撃者が得ていたことを裏付けている。
このキャンペーンでは、フィンランドにホスティングされる IP アドレス “93.152.230.161” 上のアクティブな C2 (Command and Control) インフラが使用されていた。
このインフラは、大規模なスキャンおよびエクスプロイトを統制し、脆弱な API を侵入点として悪用するものである。Oasis によると、攻撃は単なる探索に留まらず、体系的に root 権限を奪取し、永続化のために rootkit を展開していた可能性が高いという。
カナダおよび日本を標的とする別系統の Web シェル攻撃
同じ CVE-2025-54236 を悪用し、カナダおよび日本の Magento サイトを標的とする別個の作戦も確認されている。これらのケースでは、Web シェルをアップロードする攻撃者が、継続的なアクセスを確保していた。
これらの攻撃では、香港に所在する IP アドレス “115.42.60.163” を経由して C2 通信が行われていた。”404_key.txt” や “key.txt” といったログファイルには、被害 URL/Web シェルの配置パス/制御キーが詳細に記録されている。
これらのログ証拠は、複数サイトにおける Web シェルのアップロード成功を示している。構造化されたエントリには、正確な配置パスが含まれており、リモートからのコード実行が可能であったことが分かる。
Oasis の分析では、日本およびカナダが被害の集中地域として浮上しており、攻撃者が選択したディレクトリへ Web シェルが設置されていた。この構成により、初期侵害後も永続的なバックドアが維持される。
Oasis は、これらの事案は互いに独立したものであり、異なる攻撃者グループによる可能性が高いと指摘している。ただし、いずれも SessionReaper の根本的な欠陥を悪用するものであり、Magento におけるセッション・トークン無効化処理の不備を突いている点が共通している。
それらの攻撃者は、正規セッション中にトークンを取得し、それを再利用して管理者になりすまし、権限昇格を実現している。
CVE 詳細および影響概要
Magento Commerce に存在する脆弱性 CVE-2025-54236 を悪用する攻撃者は、認証バイパスから RCE に至る攻撃チェーンを引きこすため、CVSS スコアは 9.1 と高く評価されている。
| Detail | Information |
|---|---|
| CVE ID | CVE-2025-54236 (SessionReaper) |
| Affected Software | Magento Commerce (unpatched) |
| Vulnerability Type | Authentication Bypass, Session Hijacking |
| Exploitation Impact | Root access, web shells, data theft |
| Victims Identified | 216 rooted sites + Canada/Japan webshells |
| C2 IPs | 93.152.230.161 (Finland), 115.42.60.163 (HK) |
上記の表は、この脆弱性の影響範囲を要約したものである。1,460 件を超える露出 API が、パッチ未適用環境が広範に存在することを示唆している。
Magento は数多くのオンラインストアで利用されており、攻撃者にとって魅力的な標的である。今回の SessionReaper は、過去の POODLE 系脆弱性と同様に、静かな侵入を可能にする点が強く懸念される。総当たりではなく、トークン再利用という低ノイズ手法が用いられる。
Oasis は脅威ハンティングを通じて、流出したファイルおよびログを分析し、このインシデントを特定した。”/etc/passwd” 形式の情報はサーバ内部構造を露呈させ、ラテラル・ムーブメントやランサムウェア展開の足掛かりとなる。
root 侵害されたサイトでは、rootkit により活動が隠蔽され、顧客データ窃取やマルウェア注入が行われている可能性が高い。
北米/ヨーロッパ/アジア太平洋地域で被害が報告されており、グローバルなスキャンにより拡散が加速している。
Magento 利用者は、直ちにパッチを適用すべきである。Adobe は修正を公開しており、composer による更新が推奨されている。以下の IOC の確認も重要である。
・C2 IP 93.152.230.161、115.42.60.163 への通信監視
・異常なセッション再利用ログの確認
・セッション無効化の厳格化およびトークン・バインディング
・CVE-2025-54236 を遮断する WAF ルールの適用
・API の監査および露出最小化
現状において 200 件超の root 侵害が確認されているため、この Magento の件に対する、即時対応の重要性が強く示されている。このエクスプロイトが進化し続けているとして、Oasis は継続的な警戒を呼び掛けている。
Magento (Adobe Commerce) の深刻な脆弱性 CVE-2025-54236 (SessionReaper) を悪用してオンラインストアを標的とする、大規模な攻撃キャンペーンが報告されました。この攻撃により、認証が完全にバイパスされ、最終的には サーバ OS レベルの権限 (root) が奪取される恐れがあります。
SessionReaper という名前が示す通り、この攻撃はセッション管理の不備を突くものです。具体的には、Magento の REST API における入力検証の脆弱性を利用し、無効化されるべきセッション・トークンを再利用することで、攻撃者は正規の管理者やユーザーになりすまします。
さらに、ファイルベースのセッション・ストレージを使用している環境では、このセッション・ハイジャックから リモートコード実行 (RCE) へと攻撃を繋げることが可能とされます。ご利用のチームは、ご注意ください。よろしければ、カテゴリー Retail も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.