WebRTC-skaidin

Kyberturvallisuustutkijat ovat tunnistaneet edistyneen maksujen skannausmenetelmän, joka hyödyntää WebRTC DataChannels -kanavia haitallisten hyötykuormien salaamiseen ja arkaluonteisten tietojen vuotamiseen. Toisin kuin perinteiset HTTP-pyyntöihin tai kuvajäljitteisiin perustuvat skannausmenetelmät, tämä variantti toimii perinteisten verkkoliikennemallien ulkopuolella, mikä vaikeuttaa merkittävästi havaitsemistoimia.

Hyökkäyskohta hyökkäyksen alkaessa: PolyShell-haavoittuvuus

Hyökkäyskampanja jäljitettiin PolyShellin hyväksikäyttöön, joka on kriittinen Magento Open Source- ja Adobe Commerce -alustoilla vaikuttava haavoittuvuus. Tämän puutteen ansiosta todentamattomat hyökkääjät voivat ladata mielivaltaisia suoritettavia tiedostoja REST API:n kautta, mikä lopulta johtaa koodin täydelliseen etäsuorittamiseen.

Haavoittuvuutta on hyödynnetty aktiivisesti ja laajamittaisesti 19. maaliskuuta 2026 lähtien. Yli 50 IP-osoitetta on havaittu skannattavan, ja tutkijat ovat havainneet PolyShelliin liittyviä tietomurtoja noin 56,7 prosentissa haavoittuvista verkkokaupoista.

Hyökkäysmekaniikka: WebRTC piilokanavana

Skimmeri toimii itsestään suorittuvana komentosarjana, joka on upotettu vaarantuneille verkkosivustoille. Suorituksen jälkeen se aloittaa WebRTC-vertaisyhteyden kovakoodattuun IP-osoitteeseen (202.181.177.177) UDP-portin 3479 kautta. Tämän kanavan kautta se hakee lisää haitallista JavaScriptiä, joka ruiskutetaan suoraan verkkosivulle maksutietojen keräämiseksi.

Tämän tekniikan keskeisiä ominaisuuksia ovat:

• WebRTC DataChannelsin käyttö perinteisen HTTP-pohjaisen viestinnän sijaan
• Haitallisten komentosarjojen dynaaminen haku ja suorittaminen
• Suora injektio maksutietoja käsitteleville verkkosivuille

Tietoturvan kiertäminen: Perinteisten puolustuskeinojen ohittaminen

Tämä lähestymistapa edustaa huomattavaa edistysaskelta skimming-tekniikoissa, koska se pystyy kiertämään laajalti käytössä olevia tietoturvakontrolleja. Sisällön suojauskäytäntö (CSP), jota usein käytetään luvattomien lähtevien yhteyksien rajoittamiseen, ei tehokkaasti lievennä tätä uhkaa.

Myös ympäristöt, joissa CSP-määritykset ovat tiukkoja ja estävät kaiken luvattoman HTTP-liikenteen, ovat edelleen haavoittuvia. WebRTC-liikenne toimii DTLS-salatun UDP-protokollan kautta HTTP:n sijaan, mikä tekee siitä näkymätöntä monille verkonvalvonta- ja tarkastustyökaluille. Tämän seurauksena vuotaneet maksutiedot voivat ohittaa havaitsemisen kokonaan.

Korjauspäivitysten saatavuus ja puolustuskeinot

Adobe korjasi PolyShell-haavoittuvuuden versiossa 2.4.9-beta1, joka julkaistiin 10. maaliskuuta 2026. Välitön korjausten tekeminen on kriittistä hyväksikäytön estämiseksi.

Altistumisen vähentämiseksi ja mahdollisten vaaratilanteiden havaitsemiseksi suositellaan vahvasti seuraavia toimenpiteitä:

Rajoita pääsyä pub/media/custom_options/-hakemistoon
Suorita perusteelliset skannaukset verkkokuorien, takaporttien ja muiden haitallisten esineiden varalta

Strategiset vaikutukset verkkokaupan turvallisuuteen

WebRTC-pohjaisen skimmingin esiinmarssi korostaa siirtymistä kohti kehittyneempiä, protokollatason väistötekniikoita. Verkkokauppa-alustoja ylläpitävien organisaatioiden on laajennettava puolustusstrategioitaan HTTP-keskeisen valvonnan ulkopuolelle ja sisällytettävä perusteellisempi tarkastelu ei-perinteisiin viestintäkanaviin, jotta ne voivat tehokkaasti torjua kehittyviä uhkia.