WebRTC skimmer
Küberturvalisuse uurijad on tuvastanud täiustatud maksekäsu, mis kasutab WebRTC andmekanaleid pahatahtlike andmete salajaseks hankimiseks ja tundlike andmete väljavõtmiseks. Erinevalt traditsioonilistest skimmeritest, mis tuginevad HTTP-päringutele või pildimajakatele, töötab see variant väljaspool tavapäraseid veebiliikluse mustreid, mis raskendab oluliselt tuvastamist.
Sisukord
Ärakasutamise sisenemispunkt: PolyShelli haavatavus
Rünnakukampaania taga peitus PolyShelli ärakasutamine, mis on kriitiline haavatavus, mis mõjutab Magento avatud lähtekoodi ja Adobe Commerce'i platvorme. See viga võimaldab autentimata ründajatel REST API kaudu üles laadida suvalisi käivitatavaid faile, mis viib lõpuks koodi täieliku kaugkäivitamiseni.
Alates 19. märtsist 2026 on seda haavatavust aktiivselt ja ulatuslikult ära kasutatud. Skannimistoimingute käigus on täheldatud enam kui 50 IP-aadressi ning teadlased on tuvastanud PolyShelliga seotud turvaauke ligikaudu 56,7%-l haavatavatest veebipoodidest.
Rünnakumehaanika: WebRTC kui varjatud kanal
Skimmer toimib isetäituva skriptina, mis on sisse põimitud ohustatud veebisaitidele. Täitmisel algatab see WebRTC ühenduse kõvakodeeritud IP-aadressiga (202.181.177.177) UDP-pordi 3479 kaudu. Selle kanali kaudu hangib see täiendavat pahatahtlikku JavaScripti, mis süstitakse otse veebilehele makseandmete kogumiseks.
Selle tehnika peamised omadused on järgmised:
- WebRTC andmekanalite kasutamine traditsioonilise HTTP-põhise suhtluse asemel
- Pahatahtlike skriptide dünaamiline otsing ja käivitamine
- Otsene süstimine makseteavet käsitlevatele veebilehtedele
Turvalisusest kõrvalehoidumine: traditsiooniliste kaitsemehhanismide möödahiilimine
See lähenemisviis kujutab endast märkimisväärset edasiminekut kopeerimistehnikates tänu oma võimele vältida laialdaselt kasutusele võetud turvakontrolle. Sisu turbepoliitika (CSP), millele sageli toetutakse volitamata väljaminevate ühenduste piiramiseks, ei leevenda seda ohtu tõhusalt.
Isegi keskkonnad, kus CSP-i konfiguratsioonid on ranged ja blokeerivad kogu volitamata HTTP-liikluse, jäävad haavatavaks. WebRTC liiklus toimib DTLS-krüptitud UDP, mitte HTTP kaudu, muutes selle paljudele võrgu jälgimis- ja kontrollimistööriistadele nähtamatuks. Seetõttu võivad väljafiltreeritud makseandmed avastamisest täielikult mööda hiilida.
Paranduste kättesaadavus ja kaitsemeetmed
Adobe käsitles PolyShelli haavatavust versioonis 2.4.9-beta1, mis avaldati 10. märtsil 2026. Kohene paranduste tegemine on ärakasutamise vältimiseks kriitilise tähtsusega.
Kokkupuute vähendamiseks ja võimaliku ohu avastamiseks on tungivalt soovitatav võtta järgmisi meetmeid:
Piira juurdepääsu kataloogile pub/media/custom_options/
Tehke põhjalikke skaneeringuid veebikestade, tagauste ja muude pahatahtlike esemete suhtes
E-kaubanduse turvalisuse strateegilised tagajärjed
WebRTC-põhise kopeerimise esiletõus rõhutab nihet keerukamate, protokolli tasemel kõrvalehoidumistehnikate poole. E-kaubandusplatvorme haldavad organisatsioonid peavad laiendama oma kaitsestrateegiaid HTTP-kesksest jälgimisest kaugemale ja kaasama mittetraditsiooniliste suhtluskanalite põhjalikuma kontrolli, et tõhusalt võidelda arenevate ohtudega.
