Các đối tượng tấn công không xác thực đang tích cực khai thác zero-day một lỗ hổng CVE nghiêm trọng ảnh hưởng đến các nền tảng Adobe Commerce và Magento trên toàn cầu. Lỗ hổng CVE-2025-54236, được mệnh danh là SessionReaper, cho phép thực thi mã từ xa (RCE) và chiếm quyền kiểm soát tài khoản khách hàng trên hàng ngàn cửa hàng trực tuyến, gây ra mối đe dọa lớn đối với an ninh mạng của các doanh nghiệp sử dụng nền tảng này.

Tổng quan về SessionReaper và lỗ hổng CVE-2025-54236

CVE-2025-54236 là một lỗ hổng CVE có mức độ nghiêm trọng cao, ảnh hưởng đến các phiên bản chưa được vá của Adobe Commerce và Magento. Lỗ hổng này cho phép kẻ tấn công không cần xác thực có thể thực thi mã từ xa và giành quyền kiểm soát tài khoản người dùng, bao gồm cả tài khoản quản trị.

Các nhà nghiên cứu bảo mật tại Sansec đã phát hiện những cuộc tấn công quy mô lớn đầu tiên vào ngày 22 tháng 10 năm 2025. Thời điểm này diễn ra gần hai tháng sau khi Adobe phát hành bản vá bảo mật khẩn cấp. Khi được phát hiện, chưa đến 40% số cửa hàng bị ảnh hưởng đã triển khai các biện pháp khắc phục bảo vệ.

Cơ chế khai thác zero-day và Điểm yếu Kỹ thuật

SessionReaper khai thác sự kết hợp giữa một phiên độc hại và lỗi deserialization lồng ghép trong REST API của Magento. Điều này cho phép kẻ tấn công kiểm soát hoàn toàn các cửa hàng bị ảnh hưởng.

Kẻ tấn công thực hiện khai thác thông qua endpoint /customer/address_file/upload. Tại đây, chúng tải lên các PHP backdoors được ngụy trang dưới dạng các tập tin phiên giả mạo.

Phương pháp này bỏ qua hoàn toàn yêu cầu xác thực, cho phép bất kỳ kẻ tấn công nào có kết nối internet xâm nhập vào các hệ thống chưa được vá mà không cần thông tin đăng nhập hợp lệ.

Các quản trị viên Magento sử dụng lưu trữ phiên dựa trên tập tin (file-based session storage) phải đối mặt với rủi ro cao nhất. Tuy nhiên, các tổ chức dựa vào Redis hoặc phiên được hỗ trợ bởi cơ sở dữ liệu cũng không nên chủ quan về mức độ an toàn.

Các nhà nghiên cứu bảo mật xác nhận rằng tồn tại nhiều vector tấn công khác nhau. Phạm vi khai thác thực tế của lỗ hổng CVE này có thể rộng hơn so với những gì hiện tại đã được hiểu. Thông tin chi tiết hơn về cách thức khai thác có thể được tìm thấy trong báo cáo của Sansec: Sansec: SessionReaper Threat Intelligence.

Lịch sử Vá lỗi và Các Yếu tố Làm Trầm trọng Tình hình

Adobe đã phát hành bản vá bảo mật cho SessionReaper vào ngày 9 tháng 9 dưới dạng cập nhật khẩn cấp ngoài lịch trình thông thường. Tuy nhiên, tỷ lệ áp dụng bản vá vẫn rất chậm.

Đến giữa tháng 9, chưa đến một phần ba số cửa hàng Magento đã cài đặt bản sửa lỗi. Sự chậm trễ này đã tạo ra một khoảng thời gian quan trọng để kẻ tấn công phát triển và triển khai các công cụ khai thác.

Tình hình trở nên tồi tệ hơn khi Adobe vô tình làm rò rỉ mã bản vá trên GitHub, có khả năng đẩy nhanh quá trình chuẩn bị của kẻ tấn công.

Ban đầu, thông báo tư vấn về lỗ hổng CVE của Adobe đã đánh giá thấp mức độ đe dọa. Hãng chỉ mô tả tác động là chiếm đoạt tài khoản và bỏ qua bất kỳ đề cập nào về việc thực thi mã từ xa. Chi tiết này sau đó đã được các nhà nghiên cứu bảo mật xác nhận.

SessionReaper trong Bối cảnh Các Lỗ hổng Magento Nghiêm trọng

SessionReaper được xếp hạng trong số các lỗ hổng CVE nghiêm trọng nhất từng được phát hiện trên Magento. Nó gia nhập danh sách các lỗ hổng khét tiếng khác bao gồm Shoplift (2015), Ambionics SQL injection (2019), TrojanOrder (2022) và CosmicSting (2024).

Mỗi lỗ hổng trước đây đều dẫn đến hàng ngàn cửa hàng bị xâm nhập chỉ trong vài giờ hoặc vài ngày sau khi công khai thông tin. Điều này nhấn mạnh tầm quan trọng của việc cập nhật và vá lỗi kịp thời.

Chỉ số Thỏa hiệp (IOCs) và Ảnh hưởng Hệ thống

Đối với lỗ hổng CVE-2025-54236, các chỉ số thỏa hiệp (IOCs) có thể giúp phát hiện các cuộc tấn công:

• Endpoint bị khai thác: Kẻ tấn công sử dụng endpoint /customer/address_file/upload để tải lên các tập tin độc hại. Việc giám sát các hoạt động bất thường hoặc tải lên tập tin đáng ngờ đến endpoint này là cực kỳ quan trọng.
• PHP backdoors: Sự hiện diện của các tập tin PHP độc hại được ngụy trang dưới dạng tập tin phiên giả mạo trong hệ thống lưu trữ phiên.
• Thay đổi trái phép: Bất kỳ thay đổi nào không được phép đối với các khối CMS hoặc dữ liệu cấu hình có thể là dấu hiệu của việc kiểm soát hệ thống.

Ảnh hưởng hệ thống bao gồm khả năng thực thi mã từ xa, chiếm quyền kiểm soát tài khoản và khả năng kẻ tấn công duy trì quyền truy cập vĩnh viễn bằng cách thay đổi các khối CMS.

Để biết thêm thông tin về lỗ hổng CVE-2025-54236 và các chi tiết kỹ thuật, bạn có thể tham khảo Cơ sở dữ liệu lỗ hổng quốc gia (NVD) tại: NVD – CVE-2025-54236.

Các Biện pháp Phòng ngừa và Ứng phó Khẩn cấp

Các tổ chức đang chạy các phiên bản Magento hoặc Adobe Commerce chưa được vá phải đối mặt với nguy cơ xâm nhập ngay lập tức. Hành động ưu tiên hàng đầu là triển khai bản vá bảo mật chính thức từ kho lưu trữ của Adobe.

Quy trình Vá lỗi và Kiểm tra

Việc vá lỗi cần được thực hiện kỹ lưỡng. Sau khi áp dụng bản vá bảo mật, cần kiểm tra cẩn thận vì bản sửa lỗi này có thể vô hiệu hóa một số chức năng nội bộ của Magento. Điều này có khả năng làm hỏng các tiện ích mở rộng tùy chỉnh (custom extensions) hiện có.

# Ví dụ lệnh áp dụng bản vá (tùy thuộc vào phiên bản Magento và cách cài đặt)
# Các lệnh chính xác cần tham khảo tài liệu của Adobe hoặc Sansec
# composer require "magento/product-community-edition":"2.4.x" --no-update
# composer update
# bin/magento setup:upgrade
# bin/magento cache:flush

Nếu quản trị viên không thể vá lỗi trong vòng 24 giờ, cần kích hoạt Tường lửa Ứng dụng Web (WAF) để bảo vệ tạm thời. Hiện tại, chỉ Adobe Fastly và Sansec Shield được xác nhận có khả năng chặn cuộc tấn công cụ thể này.

Biện pháp Sau khi Vá lỗi

Đối với các cửa hàng đã được vá, các nhà nghiên cứu bảo mật khuyến nghị chạy trình quét phần mềm độc hại để phát hiện các trường hợp xâm nhập tiềm ẩn. Đồng thời, cần xoay vòng các khóa mã hóa (cryptographic keys) để ngăn chặn kẻ tấn công sửa đổi các khối CMS vô thời hạn.

Với 62% số cửa hàng vẫn chưa được vá, bối cảnh đe dọa tiếp tục phát triển. Ngày càng nhiều tổ chức trở thành nạn nhân của các chiến dịch khai thác zero-day tự động liên quan đến lỗ hổng CVE-2025-54236.