Hackers explotan masivamente la vulnerabilidad crítica SessionReaper (CVE-2025-54236) en Adobe Commerce
Introducción
En los últimos días, la comunidad de ciberseguridad ha detectado un incremento significativo en los intentos de explotación activa de la vulnerabilidad crítica SessionReaper (CVE-2025-54236) que afecta a Adobe Commerce, anteriormente conocido como Magento. Esta plataforma, ampliamente utilizada en el sector del comercio electrónico, ha sido históricamente un objetivo prioritario para actores maliciosos debido al valor de los datos que procesa y a su elevado nivel de adopción. En este artículo, se analizan en profundidad los aspectos técnicos, vectores de ataque, riesgos y medidas de mitigación asociadas a esta amenaza emergente.
Contexto del Incidente
Adobe Commerce (Magento) es una de las soluciones e-commerce más extendidas a nivel mundial, con una cuota de mercado cercana al 10% en tiendas online medianas y grandes. El pasado 3 de junio de 2024, Adobe publicó un aviso de seguridad referente a la vulnerabilidad identificada como CVE-2025-54236, bautizada como «SessionReaper» por los investigadores que la descubrieron. Desde entonces, plataformas de inteligencia de amenazas y honeypots han registrado cientos de intentos de explotación diarios, dirigidos tanto a instancias actualizadas como a aquellas que permanecen vulnerables.
El interés de los atacantes en este CVE se justifica por la criticidad del fallo, que permite la secuestro de sesiones administrativas y el acceso no autorizado a información sensible, como datos personales de clientes y tarjetas de pago. La explotación masiva ya ha derivado en brechas de seguridad y filtraciones de datos en varios e-commerce internacionales.
Detalles Técnicos
La vulnerabilidad CVE-2025-54236 reside en el mecanismo de gestión de sesiones de Adobe Commerce. Más concretamente, afecta a la forma en la que las sesiones autenticadas son validadas y gestionadas en la base de datos y en la capa de aplicación. El fallo permite a un atacante remoto y no autenticado reutilizar tokens de sesión caducados o interceptar sesiones activas, mediante técnicas de session fixation y session hijacking.
– **Versiones afectadas**: Adobe Commerce/Magento Open Source 2.4.2 a 2.4.7 y todas las ramas anteriores no parcheadas.
– **Vector de ataque**: NETWORK (ATAQUE REMOTO)
– **TTPs asociadas (MITRE ATT&CK)**: T1078 (Valid Accounts), T1550 (Use Alternate Authentication Material), T1021 (Remote Services).
– **Exploits conocidos**: Se han publicado módulos para Metasploit y scripts personalizados en foros clandestinos que automatizan el secuestro de sesiones y la obtención de privilegios administrativos.
– **IoC**: Solicitudes HTTP con patrones anómalos en cookies de sesión, generación masiva de tokens, y registros de acceso simultáneo a cuentas privilegiadas desde IPs geográficamente dispersas.
Impacto y Riesgos
La explotación exitosa de SessionReaper concede al atacante el control total de la instancia de Adobe Commerce afectada, permitiendo:
– Robo de información personal y financiera de clientes (cumplimiento con GDPR y PCI-DSS en riesgo).
– Manipulación de pedidos, modificaciones en precios y desvío de pagos.
– Instalación de webshells y malware persistente (por ejemplo, Magecart y Cobalt Strike).
– Movimientos laterales hacia otros sistemas conectados.
Según estimaciones de la firma RiskIQ, más del 12% de las tiendas Magento aún no han aplicado el parche de seguridad, lo que expone potencialmente a decenas de miles de comercios en todo el mundo. Los daños económicos derivados de este tipo de incidentes pueden superar los 500.000 euros por brecha, sin contar las posibles sanciones regulatorias bajo el RGPD y la inminente NIS2.
Medidas de Mitigación y Recomendaciones
Adobe ha publicado urgentemente los parches correspondientes en las versiones 2.4.2-p2, 2.4.3-p3, 2.4.4-p2, 2.4.5-p1 y superiores. Además, se recomienda:
– Aplicar inmediatamente las actualizaciones oficiales.
– Monitorizar logs de acceso y actividad sospechosa en los paneles de administración.
– Implementar MFA para todas las cuentas administrativas.
– Revisar y revocar sesiones activas en caso de sospecha de compromiso.
– Utilizar soluciones WAF actualizadas que detecten patrones de session hijacking.
– Realizar auditorías de seguridad periódicas y escaneos de vulnerabilidades (Nessus, Qualys).
Opinión de Expertos
Analistas de SANS Institute y el equipo de respuesta a incidentes de CERT-EU coinciden en que la rapidez con la que los actores de amenazas han integrado SessionReaper en sus cadenas de ataque demuestra la sofisticación y el dinamismo del cibercrimen actual. “La exposición de credenciales y sesiones en plataformas de comercio electrónico es una de las vías preferidas por los grupos Magecart y otros actores que buscan monetizar rápidamente los accesos ilícitos”, afirma Anna Paredes, investigadora de amenazas en Kaspersky.
Implicaciones para Empresas y Usuarios
La explotación de SessionReaper supone un grave riesgo para la continuidad del negocio y la confianza de los clientes. Las organizaciones que operan con Adobe Commerce deben asumir que, en ausencia de medidas proactivas, la probabilidad de sufrir una brecha es elevada. Por otro lado, los consumidores pueden verse afectados por robo de datos personales y fraudes asociados.
Desde una perspectiva de cumplimiento, la falta de parcheo puede ser considerada negligencia grave tanto ante la AEPD como bajo el nuevo marco NIS2, lo que incrementa el riesgo de sanciones y litigios.
Conclusiones
La vulnerabilidad SessionReaper (CVE-2025-54236) ilustra la relevancia de mantener actualizados los sistemas críticos y de adoptar un enfoque de defensa en profundidad en plataformas de comercio electrónico. La explotación activa y automatizada de este fallo subraya la urgencia de aplicar medidas correctivas y de reforzar los controles de acceso y monitorización. La respuesta a estos incidentes debe ser ágil, coordinada y basada en inteligencia actualizada, para minimizar el impacto y proteger tanto los activos de la empresa como la privacidad de los usuarios.
(Fuente: www.bleepingcomputer.com)