PolyShell kampány
A Sansec által publikált PolyShell kampány egy kifejezetten gyorsan eszkalálódó, tömeges exploitation hullámot mutat be, amely egy kritikus sérülékenység a Magento / Adobe Commerce rendszerekben, amely az alkalmazás REST API-ján keresztül korlátozás nélküli fájlfeltöltést tesz lehetővé. A támadás lényege, hogy a támadók úgynevezett polyglot fájlokat töltenek fel, ezek látszólag legitim formátumot használnak, de valójában futtatható kódot tartalmaznak. Ez lehetővé teszi a RCR, vagy bizonyos konfigurációk mellett account takeover / XSS támadás végrehajtását.
A kampány egyik legfontosabb jellemzője a sebesség és a skálázhatóság. A Sansec megfigyelése szerint a támadók a sérülékenység publikálása után mindössze két nappal már tömegesen kezdték kihasználni a hibát, és rövid időn belül a sebezhető rendszerek több mint felét célba vették. Emellett egy konkrét esemény során 471 webshop kompromittálását észlelték egyetlen órán belül, ami jól mutatja az automatizált exploit-kampányok intenzitását.
A támadás során a sérülékenység kihasználása nem igényel hitelesítést, így a támadási felület teljesen publikus. Másrészt a javítás kezdetben csak pre-release verziókban volt elérhető, így a legtöbb éles rendszer védtelen maradt. Harmadrészt a kihasználás nagymértékben függ a webszerver konfigurációjától, ami a valós környezetekben gyakran eltér a biztonságos referencia-beállításoktól.
