Ataques masivos explotan la vulnerabilidad ‘PolyShell’ en Magento 2 y Adobe Commerce

Introducción

En los últimos días, se ha detectado una oleada de ciberataques dirigidos específicamente contra implementaciones de Magento Open Source 2 y Adobe Commerce, explotando una vulnerabilidad crítica conocida como ‘PolyShell’. Los actores de amenazas están aprovechando esta debilidad para comprometer sitios web de comercio electrónico, con un alcance preocupante: más de la mitad de las tiendas vulnerables han sido ya atacadas con éxito. Este incidente pone de relieve la importancia de la gestión proactiva de vulnerabilidades en plataformas de comercio electrónico ampliamente adoptadas.

Contexto del Incidente

Magento, adquirido por Adobe en 2018, es una de las plataformas de comercio electrónico más utilizadas a nivel global. Su versión 2, tanto en su variante Open Source como en Adobe Commerce, es empleada por miles de tiendas online que gestionan datos sensibles y transacciones económicas a gran escala. La vulnerabilidad ‘PolyShell’ (identificada como CVE-2024-34102) fue divulgada recientemente y afecta a todas las versiones de Magento 2 anteriores a la 2.4.7, así como a Adobe Commerce en las mismas versiones. La rápida explotación masiva de esta brecha confirma el elevado interés de los grupos de amenazas en el ecosistema del comercio electrónico.

Detalles Técnicos

La vulnerabilidad ‘PolyShell’ (CVE-2024-34102) reside en el componente de validación de entrada de Magento 2 y Adobe Commerce, permitiendo la ejecución remota de código (RCE) sin autenticación previa. El vector de ataque principal consiste en el envío de payloads especialmente manipulados a través de formularios públicos o peticiones HTTP directas, que son procesados de forma insegura por el backend afectado.

El exploit, ya integrado en herramientas como Metasploit y utilizado en campañas automatizadas, permite a los atacantes desplegar webshells, backdoors persistentes y troyanos para la exfiltración de datos. Según los análisis forenses, los atacantes emplean técnicas asociadas a TTPs del framework MITRE ATT&CK, tales como:

– Initial Access: Exploitation of Remote Services (T1190)
– Execution: Command and Scripting Interpreter (T1059)
– Persistence: Web Shell (T1505.003)
– Defense Evasion: Obfuscated Files or Information (T1027)
– Collection: Data from Information Repositories (T1213)

Entre los indicadores de compromiso (IoC) identificados destacan archivos PHP ofuscados en los directorios /pub/static/ y /var/, así como conexiones C2 a dominios previamente vinculados con campañas Magecart y skimming digital.

Impacto y Riesgos

La explotación de ‘PolyShell’ permite la toma de control total sobre los sistemas afectados, con acceso a bases de datos de clientes, información de tarjetas de crédito y credenciales de administración. Según estimaciones, más del 52% de las tiendas vulnerables han sufrido ya accesos no autorizados o implantación de código malicioso.

El impacto económico y reputacional es significativo: la filtración de datos puede acarrear sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, así como pérdida de confianza por parte de clientes y partners. Además, los sistemas comprometidos suelen ser utilizados como plataformas para el despliegue de ataques adicionales, phishing o distribución de malware.

Medidas de Mitigación y Recomendaciones

Adobe ha publicado parches de seguridad para Magento Open Source y Adobe Commerce, siendo imprescindible actualizar a la versión 2.4.7 o superior de forma urgente. Otras medidas recomendadas incluyen:

– Auditoría exhaustiva de logs y archivos en busca de IoCs mencionados.
– Implementación de reglas específicas en WAF (Web Application Firewall) para bloquear payloads asociados al exploit.
– Revisión de permisos de archivos y configuración del servidor para limitar la escritura en directorios críticos.
– Despliegue de EDRs (Endpoint Detection and Response) capaces de detectar actividades anómalas en entornos PHP.
– Cambio inmediato de todas las credenciales administrativas y verificación de integridad de la base de datos.

Opinión de Expertos

Analistas del sector, como los equipos de respuesta a incidentes de SANS y Recorded Future, advierten que la velocidad de explotación alcanzada en este caso es inusual, incluso para plataformas tan targetizadas como Magento. Se subraya la necesidad de automatizar la gestión de parches y priorizar la monitorización de tiendas online, dada la sofisticación de las campañas asociadas a PolyShell, que combinan técnicas de evasión avanzadas y automatización masiva.

Implicaciones para Empresas y Usuarios

Para las empresas, la falta de una respuesta rápida puede traducirse en pérdidas millonarias, sanciones regulatorias y daño irreversible a la marca. Los usuarios finales, por su parte, se exponen a robos de identidad, fraude bancario y campañas de phishing dirigidas. Con la inminente entrada en vigor de la directiva NIS2, la obligación de reportar incidentes y demostrar la resiliencia operativa será aún más estricta para operadores de servicios esenciales y plataformas digitales.

Conclusiones

El incidente PolyShell demuestra una vez más que las plataformas de comercio electrónico son objetivos prioritarios para cibercriminales. La explotación masiva y automatizada de vulnerabilidades críticas subraya la necesidad de una gestión proactiva de parches, la implementación de capas defensivas y la concienciación continua de los equipos técnicos. Solo mediante una estrategia integral de ciberseguridad se puede mitigar el riesgo inherente a estos entornos.

(Fuente: www.bleepingcomputer.com)