WebRTC skimers
Kiberdrošības pētnieki ir identificējuši uzlabotu maksājumu datu nolasītāju, kas izmanto WebRTC DataChannels, lai nemanāmi izgūtu ļaunprātīgu vērtumu un izgūtu sensitīvus datus. Atšķirībā no tradicionālajiem datu nolasītājiem, kas paļaujas uz HTTP pieprasījumiem vai attēlu bāksignāliem, šis variants darbojas ārpus tradicionālajiem tīmekļa datplūsmas modeļiem, ievērojami sarežģot noteikšanas centienus.
Satura rādītājs
Izmantošanas ieejas punkts: PolyShell ievainojamība
Uzbrukuma kampaņa tika izsekota līdz PolyShell izmantošanai — kritiskai ievainojamībai, kas ietekmē Magento Open Source un Adobe Commerce platformas. Šī nepilnība ļauj neautentificētiem uzbrucējiem augšupielādēt patvaļīgus izpildāmos failus, izmantojot REST API, kas galu galā noved pie pilnīgas attālinātas koda izpildes.
Kopš 2026. gada 19. marta šī ievainojamība ir aktīvi izmantota plašā mērogā. Ir novērotas vairāk nekā 50 IP adreses, veicot skenēšanas darbības, un pētnieki ir atklājuši ar PolyShell saistītus draudus aptuveni 56,7% ievainojamo tiešsaistes veikalu.
Uzbrukuma mehānika: WebRTC kā slepens kanāls
Skimeris darbojas kā pašizpildošs skripts, kas iegults apdraudētās tīmekļa vietnēs. Pēc izpildes tas iniciē WebRTC vienaudžu savienojumu ar cietkodētu IP adresi (202.181.177.177), izmantojot UDP portu 3479. Caur šo kanālu tas izgūst papildu ļaunprātīgu JavaScript kodu, kas tiek tieši ievadīts tīmekļa lapā, lai apkopotu maksājumu datus.
Šīs tehnikas galvenās iezīmes ir šādas:
- WebRTC DataChannels izmantošana tradicionālās HTTP komunikācijas vietā
- Ļaunprātīgu skriptu dinamiska izguve un izpilde
- Tieša injekcija tīmekļa lapās, kas apstrādā maksājumu informāciju
Drošības apiešana: tradicionālo aizsardzības līdzekļu apiešana
Šī pieeja ir ievērojams sasniegums datu pārtveršanas metodēs, pateicoties tās spējai apiet plaši ieviestās drošības kontroles. Satura drošības politika (CSP), ko bieži izmanto, lai ierobežotu neatļautus izejošos savienojumus, efektīvi nenovērš šo apdraudējumu.
Pat vides ar stingrām CSP konfigurācijām, kas bloķē visu neatļautu HTTP datplūsmu, joprojām ir neaizsargātas. WebRTC datplūsma darbojas, izmantojot DTLS šifrētu UDP, nevis HTTP, padarot to neredzamu daudziem tīkla uzraudzības un pārbaudes rīkiem. Tā rezultātā nozagtie maksājumu dati var pilnībā apiet noteikšanu.
Ielāpu pieejamība un aizsardzības pasākumi
Adobe novērsa PolyShell ievainojamību 2.4.9-beta1 versijā, kas tika izlaista 2026. gada 10. martā. Nekavējoties jāveic ielāpi, lai novērstu ievainojamības izmantošanu.
Lai samazinātu pakļaušanu riskam un atklātu iespējamu apdraudējumu, stingri ieteicams veikt šādus pasākumus:
Ierobežot piekļuvi direktorijam pub/media/custom_options/
Veiciet rūpīgu tīmekļa apvalku, aizmugurējo durvju un citu ļaunprātīgu artefaktu skenēšanu
Stratēģiskā ietekme uz e-komercijas drošību
WebRTC balstītas datu nozagšanas parādīšanās iezīmē pāreju uz sarežģītākām, protokola līmeņa apiešanas metodēm. Organizācijām, kas pārvalda e-komercijas platformas, ir jāpaplašina savas aizsardzības stratēģijas, pārsniedzot uz HTTP orientētu uzraudzību, un jāiekļauj padziļināta netradicionālu saziņas kanālu pārbaude, lai efektīvi cīnītos pret mainīgajiem draudiem.
