WebRTC lehúzó
Kiberbiztonsági kutatók azonosítottak egy fejlett fizetési skimmert, amely a WebRTC DataChannels csatornáit használja ki a rosszindulatú hasznos adatok titkos lekérésére és az érzékeny adatok kiszivárogtatására. A hagyományos, HTTP-kérésekre vagy képjelzőkre támaszkodó skimmerekkel ellentétben ez a változat a hagyományos webes forgalmi mintákon kívül működik, ami jelentősen megnehezíti az észlelési erőfeszítéseket.
Tartalomjegyzék
Kihasználási belépési pont: A PolyShell sebezhetősége
A támadási kampányt a PolyShell kihasználására vezették vissza, amely egy kritikus sebezhetőség, amely a Magento Open Source és az Adobe Commerce platformokat érinti. Ez a hiba lehetővé teszi a nem hitelesített támadók számára, hogy tetszőleges futtatható fájlokat töltsenek fel a REST API-n keresztül, ami végső soron teljes távoli kódfuttatást eredményez.
2026. március 19. óta a sebezhetőséget aktívan és nagy léptékben kihasználták. Több mint 50 IP-címet figyeltek meg szkennelési műveletek végrehajtása közben, a kutatók a sebezhető online áruházak körülbelül 56,7%-ában észleltek PolyShell-lel kapcsolatos kompromittálásokat.
Támadási mechanika: WebRTC, mint rejtett csatorna
A skimmer egy önmagát végrehajtó szkriptként működik, amely beágyazódik a feltört webhelyekbe. Végrehajtáskor egy WebRTC peer kapcsolatot kezdeményez egy fixen kódolt IP-címmel (202.181.177.177) a 3479-es UDP porton keresztül. Ezen a csatornán keresztül további rosszindulatú JavaScript kódot kér le, amelyet közvetlenül a weboldalba injektál a fizetési adatok begyűjtése érdekében.
Ennek a technikának a főbb jellemzői a következők:
- WebRTC DataChannels használata a hagyományos HTTP-alapú kommunikáció helyett
- Kártékony szkriptek dinamikus lekérése és végrehajtása
- Közvetlen injekció fizetési információkat kezelő weboldalakba
Biztonsági kibúvók: A hagyományos védelmi mechanizmusok megkerülése
Ez a megközelítés jelentős előrelépést jelent a lefölözési technikák terén, mivel képes megkerülni a széles körben alkalmazott biztonsági ellenőrzéseket. A tartalombiztonsági szabályzat (CSP), amelyre gyakran támaszkodnak a jogosulatlan kimenő kapcsolatok korlátozására, nem mérsékli hatékonyan ezt a fenyegetést.
Még a szigorú CSP-konfigurációkkal rendelkező környezetek is sebezhetőek maradnak, amelyek minden jogosulatlan HTTP-forgalmat blokkolnak. A WebRTC forgalom DTLS-titkosítású UDP-n keresztül működik HTTP helyett, így láthatatlanná válik számos hálózatfigyelő és -ellenőrző eszköz számára. Ennek eredményeként a kiszivárgott fizetési adatok teljesen megkerülhetik az észlelést.
Javítások elérhetősége és védekező intézkedések
Az Adobe a PolyShell sebezhetőségét a 2026. március 10-én kiadott 2.4.9-beta1 verzióban javította. Az azonnali javítás elengedhetetlen a sérülékenység kihasználásának megakadályozásához.
Az expozíció csökkentése és a potenciális kompromittálódás észlelése érdekében a következő intézkedések határozottan ajánlottak:
Korlátozd a hozzáférést a pub/media/custom_options/ könyvtárhoz
Alapos vizsgálatokat végez webshellekre, hátsó ajtókra és egyéb rosszindulatú elemekre
Stratégiai következmények az e-kereskedelem biztonságára nézve
A WebRTC-alapú lefölözés megjelenése rávilágít a kifinomultabb, protokollszintű kijátszási technikák felé való elmozdulásra. Az e-kereskedelmi platformokat üzemeltető szervezeteknek ki kell terjeszteniük védekezési stratégiáikat a HTTP-központú monitorozáson túlra, és be kell építeniük a nem hagyományos kommunikációs csatornák mélyebb vizsgálatát a változó fenyegetések hatékony elhárítása érdekében.
