מהות הפגיעות ואיך מנצלים אותה

הפגיעות מתמקדת בבעיה של דסיריאליזציה מקוננת (Nested Deserialization). בתנאים מסוימים תוקף לא מאומת מסוגל לשלוח Payload שיוביל להרצת קוד מרחוק (RCE). בפועל נצפו ניסיונות להעלות קבצים זדוניים (Webshells) או לבצע בדיקות סביבתיות כגון phpinfo(), בין היתר דרך נקודות כמו /customer/address_file/upload.

מה לעשות עכשיו

• להתקין מיידית את עדכוני האבטחה הרשמיים של Adobe (APSB25‑88).
• לבצע סריקה אחר קבצים חשודים בתיקיות העלאה/‏tmp, הרשאות חריגות ושינויים בלתי צפויים.
• להקשיח העלאות (בדיקת MIME בצד השרת, חסימת סיומות מסוכנות, הרשאות מינימליות).
• להעדיף אחסון Sessions ב‑Redis/Memcached על פני File, ולמנוע דסיריאליזציה של אובייקטים לא מהימנים.

מה כבר עשינו ב‑SPD

1) חסימה ברמת שרתי הווב

• סינון/חסימה של בקשות חשודות ל‑/customer/address_file/upload ודפוסים נפוצים של Payloads זדוניים.
• סריקה ואיתור קבצים חשודים בספריות העלאה והקשחת הרשאות.

2) WAF מקומי על השרתים

• הפצה ייעודית של חוקים ואינדיקטורים (IOCs) ל‑WAF המקומי המותקן על השרתים המנוהלים.
• חסימת דסיריאליזציה מקוננת, דפוסי phpinfo, Base64 ו‑Backdoors נפוצים.

3) WAF מסחריים

• הפצה נפרדת של חוקים ואינדיקטורים לפלטפורמות WAF מסחריות (ענניות), כך שלקוחות המשתמשים בפתרונות אלו מוגנים אף הם.
• עדכון מתמשך של חתימות בהתאם למודיעין עדכני.

4) ניטור וזיהוי

• הוספת כללים למערכות ניטור לזיהוי ניסיונות העלאה חריגים והרצות חשודות.
• חסימה פרואקטיבית של מקורות תוקפים הידועים בקמפיין.

מקורות ומידע נוסף

• Adobe Security Bulletin APSB25‑88
• Gopher Security — Magento Stores Targeted
• SLCyber/Assetnote — Nested Deserialization
• Sansec — SessionReaper Exploitation

צרו קשר

מעוניינים בהקשחה, הטמעת WAF/עדכוני אבטחה או הערכת סיכון לסביבת Magento/Adobe Commerce שלכם? נשמח לסייע.

• פנייה לייעוץ
• יישום WAF והקשחה