Grave vulnerabilidad en la API REST de Magento permite ejecución remota de código y toma de cuentas

Introducción

Magento, una de las plataformas de comercio electrónico más populares a nivel mundial, ha sido señalada recientemente por la firma de seguridad Sansec debido a una vulnerabilidad crítica en su API REST. Esta debilidad, apodada «PolyShell», representa una amenaza significativa para tiendas online y negocios que confían en Magento, ya que permite a atacantes no autenticados cargar archivos ejecutables arbitrarios y, en última instancia, conseguir la ejecución remota de código y la toma de control de cuentas administrativas.

Contexto del Incidente o Vulnerabilidad

La vulnerabilidad PolyShell afecta al mecanismo de subida de archivos de la API REST de Magento. Según la investigación de Sansec, la vulnerabilidad puede ser explotada sin necesidad de autenticación previa, lo que amplía el espectro de riesgo a cualquier instancia expuesta a Internet. El vector de ataque reside en la forma en que Magento valida los archivos multimedia subidos a través de la API REST, permitiendo que ejecutables maliciosos se camuflen como imágenes legítimas. Este problema afecta tanto a las versiones de Magento Open Source como a Adobe Commerce, aunque la extensión del impacto depende de la configuración exacta y los módulos activos.

Detalles Técnicos

Hasta el momento, la vulnerabilidad ha sido identificada bajo el código PolyShell, si bien todavía no se le ha asignado un identificador CVE público. El ataque explota un endpoint específico de la API REST que gestiona la carga de archivos multimedia. Mediante técnicas de evasión (por ejemplo, la manipulación de cabeceras MIME y extensiones de archivo), el atacante logra que el sistema acepte archivos ejecutables disfrazados de imágenes (típicamente .jpg o .png). Al ser procesados posteriormente por el servidor, estos archivos pueden desencadenar la ejecución de comandos arbitrarios.

Desde la perspectiva MITRE ATT&CK, se trata principalmente de las técnicas T1190 (Exploit Public-Facing Application) y T1505.003 (Server Software Component: Web Shell). Los indicadores de compromiso (IoC) identificados por Sansec incluyen la aparición de archivos con extensiones dobles (ejemplo: imagen.jpg.php), solicitudes HTTP POST sospechosas hacia la API REST y la presencia de shells web (web shells) en el directorio de medios.

Impacto y Riesgos

La explotación exitosa de PolyShell puede permitir a actores maliciosos ejecutar código arbitrario en el servidor Magento, tomar el control de cuentas administrativas, modificar o exfiltrar información confidencial y desplegar malware adicional (incluyendo ransomware o skimmers de tarjetas de crédito). Las consecuencias económicas son considerables: un informe de IBM Security calcula que el coste medio de una brecha en el sector retail asciende a 3,28 millones de dólares, sin contar sanciones regulatorias bajo normativas como GDPR o NIS2.

Magento cuenta con una cuota de mercado estimada del 8% en el comercio electrónico global, lo que puede traducirse en decenas de miles de sitios potencialmente vulnerables. Aunque, según Sansec, no hay evidencia de explotación activa hasta la fecha, la publicación de detalles técnicos podría acelerar el desarrollo de exploits públicos y su integración en frameworks como Metasploit o Cobalt Strike.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo, se recomienda a los administradores de Magento:

– Restringir el acceso a la API REST únicamente a direcciones IP de confianza.
– Aplicar reglas adicionales de validación de archivos en los endpoints de subida, bloqueando extensiones y cabeceras sospechosas.
– Monitorizar logs de acceso en busca de patrones anómalos (por ejemplo, cargas de archivos con extensiones dobles).
– Implementar soluciones WAF (Web Application Firewall) y reglas específicas para bloquear este vector de ataque.
– Actualizar a la última versión de Magento y aplicar los parches de seguridad proporcionados por Adobe tan pronto como estén disponibles.
– Revisar y auditar los permisos de los usuarios con acceso a la API REST.
– Realizar análisis periódicos de integridad en el directorio de medios y otras ubicaciones sensibles.

Opinión de Expertos

Expertos de la comunidad de ciberseguridad subrayan la gravedad del fallo. “El hecho de que la vulnerabilidad sea explotable sin autenticación y permita la ejecución remota de código la sitúa en la máxima criticidad”, señala Juan Manuel García, analista SOC en una consultora española. “Esperamos ver intentos de explotación automatizada en cuanto el exploit se haga público, especialmente en infraestructuras de comercio electrónico que suelen ser objetivos lucrativos para los atacantes”.

Implicaciones para Empresas y Usuarios

Para las empresas, esta vulnerabilidad representa un riesgo inmediato tanto de pérdida económica directa por fraude como de sanciones bajo GDPR y NIS2 si se produce la exposición de datos personales o financieros. Se recomienda informar a los clientes sobre posibles riesgos y reforzar los controles de seguridad en el perímetro y en los sistemas de monitorización.

Los usuarios finales deben permanecer atentos a posibles comunicaciones fraudulentas o cambios sospechosos en las tiendas online que utilicen Magento, y practicar buenas prácticas de higiene digital.

Conclusiones

PolyShell es una vulnerabilidad crítica en la API REST de Magento que permite la carga y ejecución de código malicioso, exponiendo a miles de tiendas online a riesgos severos. Si bien aún no se han reportado incidentes de explotación activa, la ventana de exposición es significativa y urge la aplicación de contramedidas técnicas y organizativas. La vigilancia proactiva, la segmentación de accesos y la actualización inmediata son claves para mitigar esta amenaza emergente.

(Fuente: feeds.feedburner.com)