WebRTC nuskaitiklis
Kibernetinio saugumo tyrėjai atrado pažangų mokėjimų nuskaitymo įrankį, kuris naudoja „WebRTC DataChannels“, kad slapta gautų kenkėjiškus duomenis ir išfiltruotų jautrius duomenis. Skirtingai nuo tradicinių nuskaitymo įrankių, kurie remiasi HTTP užklausomis arba vaizdo švyturiais, šis variantas veikia už įprastų interneto srauto modelių ribų, todėl aptikimo pastangas gerokai apsunkina.
Turinys
Išnaudojimo patekimo taškas: „PolyShell“ pažeidžiamumas
Atakos kampanija buvo siejama su „PolyShell“ – kritinės „Magento Open Source“ ir „Adobe Commerce“ platformų spragos – išnaudojimu. Ši spraga leidžia neautentifikuotiems užpuolikams įkelti savavališkus vykdomuosius failus per REST API, o tai galiausiai lemia visišką nuotolinį kodo vykdymą.
Nuo 2026 m. kovo 19 d. pažeidžiamumas buvo aktyviai išnaudojamas dideliu mastu. Buvo stebima daugiau nei 50 IP adresų, atliekančių nuskaitymo operacijas, o tyrėjai aptiko su „PolyShell“ susijusius pažeidimus maždaug 56,7 % pažeidžiamų internetinių parduotuvių.
Atakos mechanika: „WebRTC“ kaip slaptas kanalas
Nuskaitymo programa veikia kaip savaime vykdomas scenarijus, įterptas į pažeistas svetaines. Paleidus programą, ji inicijuoja „WebRTC“ ryšį su užkoduotu IP adresu (202.181.177.177) per UDP prievadą 3479. Per šį kanalą ji nuskaito papildomą kenkėjišką „JavaScript“ kodą, kuris įterpiamas tiesiai į tinklalapį, kad būtų surinkti mokėjimo duomenys.
Pagrindinės šios technikos savybės:
- „WebRTC DataChannels“ naudojimas vietoj tradicinio HTTP pagrindu veikiančio ryšio
- Kenkėjiškų scenarijų dinaminis paieška ir vykdymas
- Tiesioginė injekcija į tinklalapius, kuriuose tvarkoma mokėjimo informacija
Saugumo vengimas: tradicinių gynybos būdų apėjimas
Šis metodas yra žymus nuskaitymo technikų patobulinimas dėl gebėjimo apeiti plačiai naudojamas saugumo kontrolės priemones. Turinio saugumo politika (CSP), kuria dažnai remiamasi siekiant apriboti neteisėtus išeinančius ryšius, veiksmingai nesumažina šios grėsmės.
Net aplinkos su griežtomis CSP konfigūracijomis, kurios blokuoja visą neautorizuotą HTTP srautą, išlieka pažeidžiamos. „WebRTC“ srautas veikia per DTLS užšifruotą UDP, o ne HTTP, todėl daugelis tinklo stebėjimo ir tikrinimo įrankių jo nemato. Dėl to nufiltruoti mokėjimo duomenys gali būti visiškai aptikimo neįmanomai.
Pataisų prieinamumas ir gynybinės priemonės
„Adobe“ išsprendė „PolyShell“ pažeidžiamumą 2.4.9-beta1 versijoje, išleistoje 2026 m. kovo 10 d. Siekiant užkirsti kelią pažeidžiamumo išnaudojimui, labai svarbu nedelsiant jį atnaujinti.
Siekiant sumažinti poveikį ir aptikti galimą užkrėtimą, primygtinai rekomenduojamos šios priemonės:
Apriboti prieigą prie katalogo „pub/media/custom_options/“
Atlikite kruopštų žiniatinklio apvalkalų, užpakalinių durų ir kitų kenkėjiškų artefaktų nuskaitymą
Strateginės pasekmės el. prekybos saugumui
„WebRTC“ pagrindu sukurto nuskaitymo atsiradimas pabrėžia poslinkį link sudėtingesnių, protokolo lygio apėjimo metodų. Organizacijos, valdančios el. prekybos platformas, turi išplėsti savo gynybos strategijas, neapsiribodamos HTTP stebėjimu, ir įtraukti gilesnę netradicinių ryšio kanalų patikrą, kad galėtų veiksmingai kovoti su besiformuojančiomis grėsmėmis.
