PolyShell attacks target 56% of all vulnerable Magento stores
2026/03/25 BleepingComputer — Magento Open Source 2/Adobe Commerce 環境に存在する、“PolyShell” と呼ばれる脆弱性を悪用する現在進行形の攻撃により、脆弱なストアの半数以上が標的とされている。eCommerce セキュリティ企業 Sansec によると、この脆弱性が公開された 2 日後には、大規模な悪用が開始されているという。
Sansec は、「PolyShell の大規模な悪用は、2026年3月19日の時点で開始された。そして現時点では、脆弱ストアの 56.7% で攻撃が確認されている」と報告している。
この問題は Magento の REST API に存在し、カート・アイテムのカスタム・オプションとしてファイル・アップロードを受け付ける点に起因すると、研究者たちは指摘している。
このファイル・アップロードが Web サーバ・コンフィグで有効化されていると、”polyglot” ファイルを介したリモートコード実行 (RCE) やクロスサイト・スクリプティング (XSS) によるアカウント乗っ取りが可能となる。
すでに Adobe は、2026年3月10日にバージョン 2.4.9-beta1 をリリースして、この問題を修正しているが、この修正は Stable 版に反映されていない。つまり、本番環境向けの正式アップデートは、現時点では未提供である。
その一方で Sansec は、PolyShell スキャンを行う攻撃者たちの IP アドレス一覧を公開している。
WebRTC スキマー
Sansec が確認しているのは、一部の攻撃において、WebRTC を悪用する新しい決済カード・スキマーの展開である。
WebRTC が使用するのは、DTLS 暗号化された UDP であり、HTTP ではないため、connect-src など厳格な Content Security Policy (CSP) が回避される可能性が高い。
このスキマーは、軽量な JavaScript ローダとして動作し、ハードコードされた command-and-control (C2) サーバへ WebRTC 接続を確立する。具体的には、偽装された SDP エクスチェンジを埋め込み、通常のシグナリングを回避している。
その後に、暗号化チャネルを通じて第 2 段階のペイロードを受信/実行する。CSP 回避は、既存スクリプトの nonce 再利用/unsafe-eval/スクリプト挿入により行われる。さらに requestIdleCallback を用いて実行を遅延させ、検知の回避を図っている。
Sansec は、このスキマーが時価総額 1,000億ドル超の自動車メーカーの eCommerce サイトでも検出されたと報告しているが、当該企業からの応答は確認されていない。
研究者たちは、防御に活用できる Indicators of Compromise (IoC) を公開している。
訳者後書:Magento 2 および Adobe Commerce において、PolyShell と呼ばれる深刻な脆弱性 CVE-N/A を悪用する大規模な攻撃が進行しています。 セキュリティ企業 Sansec の報告によると、2026年3月19日に始まった攻撃は公開からわずか数日で脆弱な全ストアの 56.7% を標的とするまでに拡大しました。それに加えて、この PolyShell 攻撃を足がかりに展開されている、WebRTC スキマーの存在が深刻な問題となっています。 この新しい決済カード・スキマーは 従来の HTTP 通信ではなく WebRTC のデータ・チャネル (DTLS 暗号化された UDP ) を悪用して盗み出したデータを送信します。 WebRTC はブラウザのセキュリティ機能である Content Security Policy (CSP) の監視を回避しやすいため、厳格な対策を敷いているサイトでも検知を免れる可能性が高くなります。 実際に、時価総額 1,000 億ドルを超える大手自動車メーカーのサイトでも、このスキマーが検出されており、被害の広がりが懸念されています。ご利用のチームは、ご注意ください。よろしければ、Magento での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.