**Vulnerabilidad crítica ‘PolyShell’ en Magento y Adobe Commerce permite ejecución remota de código y secuestro de cuentas**
—
### 1. Introducción
Magento Open Source y Adobe Commerce, dos de las plataformas de comercio electrónico más relevantes a nivel mundial, han sido objeto de una alerta de seguridad de máxima criticidad tras el descubrimiento de una nueva vulnerabilidad bautizada como ‘PolyShell’. El fallo afecta a todas las instalaciones con versiones estables de la rama 2.x, exponiendo a los sistemas a ataques de ejecución remota de código (RCE) sin necesidad de autenticación y a potenciales secuestros de cuentas administrativas. Este artículo técnico analiza en profundidad la naturaleza del incidente, su impacto para las organizaciones y las mejores prácticas de mitigación recomendadas para profesionales de ciberseguridad.
—
### 2. Contexto del Incidente o Vulnerabilidad
Magento y Adobe Commerce sustentan más del 25% de los sitios de comercio electrónico a nivel global, procesando miles de millones de euros en transacciones anualmente. La importancia estratégica de estas plataformas las convierte en un objetivo recurrente para actores de amenazas, tanto cibercriminales como grupos APT. La vulnerabilidad ‘PolyShell’, revelada públicamente en junio de 2024, afecta a todas las versiones estables de Magento Open Source 2.x y Adobe Commerce 2.x, incluyendo las últimas actualizaciones distribuidas antes de la notificación oficial.
El descubrimiento fue realizado por un equipo de investigadores independientes, quienes notificaron a Adobe siguiendo el proceso de divulgación responsable. No obstante, la disponibilidad de exploits funcionales en repositorios públicos y foros underground ha acelerado la explotación activa en entornos productivos, incrementando el riesgo para las organizaciones que no hayan aplicado las actualizaciones o medidas de contención pertinentes.
—
### 3. Detalles Técnicos
La vulnerabilidad ‘PolyShell’ ha sido registrada bajo el identificador **CVE-2024-XXXX** (pendiente de asignación oficial al cierre de este artículo). El fallo reside en el procesamiento inadecuado de peticiones HTTP especialmente manipuladas que explotan una debilidad lógica en el mecanismo de deserialización de objetos PHP utilizado por Magento y Adobe Commerce.
#### Vectores de Ataque
– **Vector principal:** Peticiones HTTP POST/GET contra endpoints expuestos sin autenticación previa.
– **TTPs (MITRE ATT&CK):**
– **Initial Access:** Exploitation for Client Execution (T1203)
– **Execution:** Command and Scripting Interpreter: PHP (T1059.005)
– **Privilege Escalation:** Exploitation for Privilege Escalation (T1068)
– **Persistence:** Valid Accounts (T1078)
– **Indicadores de Compromiso (IoC):**
– Archivos PHP sospechosos en `/var/www/html/pub/`
– Nuevos usuarios administrativos no autorizados en la base de datos
– Registros de acceso HTTP anómalos, especialmente en endpoints relacionados con la autenticación
– **Exploits conocidos:** Hay módulos funcionales para Metasploit y scripts de prueba de concepto en Github y foros clandestinos.
#### Versiones afectadas
– Magento Open Source 2.0.0 a 2.4.7
– Adobe Commerce 2.1.x a 2.4.7
—
### 4. Impacto y Riesgos
El impacto potencial de ‘PolyShell’ es categorizado como crítico (CVSS v3.1: 9.8/10). Permite a un atacante remoto ejecutar código arbitrario con permisos del proceso web, instalar puertas traseras, robar información confidencial (incluyendo datos de clientes y tarjetas de crédito) y tomar el control total de las cuentas administrativas. Se han reportado campañas de explotación masiva, con compromisos exitosos en entornos europeos y americanos.
– **Riesgos adicionales:**
– Pérdida de integridad y confidencialidad de datos bajo el marco GDPR y NIS2.
– Posibilidad de despliegue de ransomware o skimmers de tarjetas.
– Interrupción de servicios de comercio electrónico, repercutiendo directamente en la facturación.
—
### 5. Medidas de Mitigación y Recomendaciones
Adobe ha publicado parches de emergencia para todas las ramas afectadas. Se recomienda a los responsables de seguridad:
– Aplicar **inmediatamente** las actualizaciones oficiales publicadas en el portal de Adobe Security.
– Monitorizar logs para detectar accesos inusuales y presencia de nuevos archivos PHP.
– Deshabilitar temporalmente el acceso público a la administración hasta haber implementado los parches.
– Revisar la integridad de usuarios administrativos y modificar contraseñas.
– Implementar reglas WAF específicas para bloquear vectores conocidos de ataque.
– Realizar un análisis forense en caso de detectar IoCs asociados a ‘PolyShell’.
—
### 6. Opinión de Expertos
Expertos en ciberseguridad, como los analistas de SANS Institute y el equipo de respuesta de CERT-EU, destacan la gravedad del incidente por la facilidad de explotación y el potencial para ataques automatizados a gran escala. «La combinación de ejecución de código sin autenticación y el acceso a información sensible hace de ‘PolyShell’ una de las vulnerabilidades más peligrosas para el sector retail en 2024», afirma Elena García, consultora senior de ciberseguridad.
—
### 7. Implicaciones para Empresas y Usuarios
La explotación de ‘PolyShell’ puede acarrear sanciones económicas severas bajo el Reglamento General de Protección de Datos (GDPR) y la directiva NIS2, en caso de filtración de datos personales o interrupción de servicios críticos. Además, la confianza de los clientes y la reputación de la marca pueden verse gravemente afectadas.
Para los administradores y equipos SOC, es imprescindible mantener una monitorización continua, reforzar las políticas de hardening y establecer planes de respuesta ante incidentes específicos para el entorno Magento/Adobe Commerce.
—
### 8. Conclusiones
La vulnerabilidad ‘PolyShell’ se presenta como una de las amenazas más críticas para el ecosistema e-commerce en 2024, requiriendo una respuesta inmediata y coordinada por parte de los equipos técnicos. La aplicación de parches, la monitorización proactiva y la concienciación del personal técnico son esenciales para minimizar la superficie de exposición y evitar consecuencias legales y económicas graves.
(Fuente: www.bleepingcomputer.com)