WebRTC Skimmer

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், WebRTC தரவு சேனல்களைப் பயன்படுத்தி தீங்கிழைக்கும் கோப்புகளை இரகசியமாகப் பெற்று, முக்கியமான தரவுகளை வெளியேற்றும் ஒரு மேம்பட்ட கட்டண ஸ்கிம்மரைக் கண்டறிந்துள்ளனர். HTTP கோரிக்கைகள் அல்லது இமேஜ் பீக்கான்களைச் சார்ந்திருக்கும் பாரம்பரிய ஸ்கிம்மர்களைப் போலல்லாமல், இந்த வகை ஸ்கிம்மர் வழக்கமான இணையப் போக்குவரத்து முறைகளுக்கு வெளியே செயல்படுவதால், இதைக் கண்டறியும் முயற்சிகள் கணிசமாகச் சிக்கலாகின்றன.

சுரண்டல் நுழைவுப் புள்ளி: பாலிஷெல் பாதிப்பு

Magento Open Source மற்றும் Adobe Commerce தளங்களைப் பாதிக்கும் ஒரு முக்கிய பாதிப்பான PolyShell-ஐப் பயன்படுத்தியதன் மூலமே இந்தத் தாக்குதல் பிரச்சாரம் தொடங்கப்பட்டது எனக் கண்டறியப்பட்டது. இந்தக் குறைபாடு, அங்கீகாரம் பெறாத தாக்குதல் நடத்துபவர்களை REST API வழியாகத் தன்னிச்சையான இயக்கக்கூடிய கோப்புகளைப் பதிவேற்ற அனுமதிக்கிறது, இது இறுதியில் முழுமையான தொலைநிலைக் குறியீடு செயல்படுத்தலுக்கு வழிவகுக்கிறது.

மார்ச் 19, 2026 முதல், இந்தக் குறைபாடு பெரிய அளவில் தீவிரமாகப் பயன்படுத்தப்பட்டு வருகிறது. 50-க்கும் மேற்பட்ட ஐபி முகவரிகள் ஸ்கேனிங் செயல்பாடுகளை மேற்கொள்வது அவதானிக்கப்பட்டுள்ளதுடன், பாதிப்புக்குள்ளான ஆன்லைன் கடைகளில் சுமார் 56.7%-இல் பாலிஷெல் தொடர்பான சமரசங்களை ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர்.

தாக்குதல் வழிமுறைகள்: ஒரு மறைமுகத் தொடர்பு வழியாக WebRTC

இந்த ஸ்கிம்மர், ஊடுருவப்பட்ட வலைத்தளங்களுக்குள் பதிக்கப்பட்ட, தானாகவே இயங்கும் ஒரு ஸ்கிரிப்ட்டாகச் செயல்படுகிறது. செயல்படுத்தப்பட்டவுடன், அது UDP போர்ட் 3479 வழியாக, நிரலில் நேரடியாகக் குறிப்பிடப்பட்ட IP முகவரிக்கு (202.181.177.177) ஒரு WebRTC பியர் இணைப்பைத் தொடங்குகிறது. இந்த வழித்தடத்தின் மூலம், அது கூடுதல் தீங்கிழைக்கும் ஜாவாஸ்கிரிப்டைப் பெற்று, பணம் செலுத்தும் தரவுகளைச் சேகரிப்பதற்காக அதை நேரடியாக வலைப்பக்கத்தில் செலுத்துகிறது.

இந்த நுட்பத்தின் முக்கிய பண்புகள் பின்வருமாறு:

• பாரம்பரிய HTTP அடிப்படையிலான தகவல்தொடர்புக்குப் பதிலாக WebRTC தரவு சேனல்களைப் பயன்படுத்துதல்
• தீங்கிழைக்கும் ஸ்கிரிப்டுகளை மாறும் தன்மையுடன் மீட்டெடுத்து செயல்படுத்துதல்
• பணம் செலுத்தும் தகவல்களைக் கையாளும் வலைப்பக்கங்களில் நேரடிச் செருகல்

பாதுகாப்பு ஏமாற்றுதல்: பாரம்பரிய பாதுகாப்பு முறைகளைத் தவிர்த்தல்

பரவலாகப் பயன்படுத்தப்படும் பாதுகாப்புக் கட்டுப்பாடுகளைத் தவிர்க்கும் திறன் கொண்டிருப்பதால், இந்த அணுகுமுறை ஸ்கிம்மிங் நுட்பங்களில் ஒரு குறிப்பிடத்தக்க முன்னேற்றத்தைக் குறிக்கிறது. அங்கீகரிக்கப்படாத வெளிச்செல்லும் இணைப்புகளைக் கட்டுப்படுத்த பெரும்பாலும் நம்பப்படும் உள்ளடக்கப் பாதுகாப்புக் கொள்கை (CSP), இந்த அச்சுறுத்தலைத் திறம்படத் தணிப்பதில்லை.

அங்கீகரிக்கப்படாத அனைத்து HTTP போக்குவரத்தையும் தடுக்கும் கடுமையான CSP உள்ளமைப்புகளைக் கொண்ட சூழல்கள்கூட பாதிப்புக்குள்ளாகக்கூடியவையாகவே இருக்கின்றன. WebRTC போக்குவரத்து, HTTP-க்குப் பதிலாக DTLS குறியாக்கம் செய்யப்பட்ட UDP வழியாகச் செயல்படுவதால், பல பிணையக் கண்காணிப்பு மற்றும் ஆய்வு கருவிகளுக்கு அது புலப்படுவதில்லை. இதன் விளைவாக, திருடப்பட்ட பணத் தரவுகள் கண்டறிதலை முழுவதுமாகத் தவிர்க்க முடிகிறது.

பேட்ச் கிடைக்கும் தன்மை மற்றும் தற்காப்பு நடவடிக்கைகள்

அடோப் நிறுவனம், மார்ச் 10, 2026 அன்று வெளியிடப்பட்ட பதிப்பு 2.4.9-beta1-இல் பாலிஷெல் பாதிப்பைச் சரிசெய்துள்ளது. தவறான பயன்பாட்டைத் தடுக்க, உடனடியாகப் பிழைதிருத்தம் செய்வது மிகவும் அவசியம்.

பாதிப்பைக் குறைப்பதற்கும், ஏற்படக்கூடிய சமரசங்களைக் கண்டறிவதற்கும், பின்வரும் நடவடிக்கைகள் வலுவாகப் பரிந்துரைக்கப்படுகின்றன:

pub/media/custom_options/ கோப்பகத்திற்கான அணுகலைக் கட்டுப்படுத்துங்கள்
வலை ஷெல்கள், பின்கதவுகள் மற்றும் பிற தீங்கிழைக்கும் கூறுகள் உள்ளதா என முழுமையான சோதனைகளை மேற்கொள்ளுங்கள்.

மின்னணு வர்த்தகப் பாதுகாப்பிற்கான மூலோபாய தாக்கங்கள்

WebRTC அடிப்படையிலான ஸ்கிம்மிங்கின் தோற்றம், மிகவும் நுட்பமான, நெறிமுறை அளவிலான தவிர்ப்பு நுட்பங்களை நோக்கிய ஒரு மாற்றத்தை எடுத்துக்காட்டுகிறது. மின்வணிகத் தளங்களை இயக்கும் நிறுவனங்கள், உருவாகிவரும் அச்சுறுத்தல்களைத் திறம்பட எதிர்கொள்வதற்காக, தங்கள் பாதுகாப்பு உத்திகளை HTTP-மையக் கண்காணிப்பிற்கு அப்பால் விரிவுபடுத்தி, மரபுசாரா தகவல் தொடர்பு வழிகளின் ஆழமான ஆய்வையும் இணைத்துக்கொள்ள வேண்டும்.