Oasis Securityは、Magentoの認証回避につながる脆弱性 CVE-2025-54236(通称SessionReaper)が、複数のサイバー攻撃者によって独立して悪用され、サーバのroot権限奪取やWebシェル設置に発展しているとする調査結果を公表しました。
調査では、世界規模で200件超の侵害が確認されたケースに加え、日本とカナダのサイトに対するWebシェル設置の痕跡も示されています。
目次
CVE-2025-54236とは
CVE-2025-54236は、セッショントークンの無効化処理などに不備がある場合に、攻撃者がセッションを再利用して認証を回避し、管理機能への不正アクセスを足掛かりにシステム侵害へ進める可能性があるとされます。
Adobeのセキュリティ情報でも、本件が実環境で悪用されていることを把握している旨が示され、影響を受けるバージョンと対策(ホットフィックス)が案内されています。
大規模悪用の事例 脆弱なAPI探索からroot権限奪取へ
調査レポートが示す1つ目の事例は、大規模な探索と侵害を伴うキャンペーンです。攻撃側インフラとして、フィンランド所在とされるC2用IPアドレスが挙げられ、攻撃者がMagento Commerce APIを広範囲に探索し、脆弱と判断したAPIを大量にリスト化した流れが説明されています。
レポートによれば、攻撃者は1,000件超の脆弱なAPIを特定し、最終的に200件超のWebサイトで侵害が成立、rootレベルの権限取得に至ったケースが確認されたとされています。脆弱と判断されたAPIの一覧はsuccess_api_2025.txtとして整理され、合計1,460件が示されたと記載されています。
また、侵害された被害先は216サイトとして整理され、各サイトごとにファイルが分けられた形で列挙されており、そこには/etc/passwd形式のユーザー一覧が含まれる例が提示されています。これは単なるアプリ侵害にとどまらず、OSレベルでの侵害を示す状況証拠として位置付けられています。
日本とカナダで確認されたWebシェル設置 日本ドメインの記載も
2つ目の事例では、香港所在とされる別のC2用IPアドレスが挙げられ、CVE-2025-54236の悪用を通じて、カナダおよび日本のMagentoサイトにWebシェルをアップロードし、永続的なアクセス手段を確保した痕跡が示されています。
ログには、被害サイトのURL、Webシェルの設置パス、攻撃者が指定した制御用のキーのような情報が構造化して残っているとされます。
実際に、レポート内の図版ログに、日本のトップレベルドメインを含む記載が確認できます。
想定されるリスクと影響範囲
本脆弱性が悪用された場合、単なる管理画面への不正ログインにとどまらず、Webシェル設置による遠隔操作、認証情報や設定情報の窃取、サーバ内部の横展開、改ざんや追加マルウェア配置など、侵害後の自由度が高い展開につながり得ます。
レポートでも、root権限奪取やWebシェルによる永続化が実例として示されています。
対策 最優先は修正適用と侵害有無の点検
最優先は、Adobeが案内する修正の適用です。対象バージョンが広く、ホットフィックス提供や最新版への更新が推奨されています。また、同社は本件が実環境で悪用されていることを明記しており、先延ばしにしない判断が重要です。
運用面では、次の観点で点検することが現実的です。
-
管理者セッションやトークン周辺の不審な挙動、通常と異なるログインパターンの有無を確認する
-
不審なファイル追加や改変、見慣れないパス配下のスクリプトの存在を確認する
-
侵害の疑いがある場合は、単純な駆除ではなく、影響範囲確認と再構築を含むインシデント対応として扱う
レポートが示す通り、侵害後にWebシェルが置かれると、攻撃者が長期間アクセスを維持できる可能性があります。修正適用だけで安心せず、侵害済み前提の点検もセットで進めるのが安全です。
出典








