Hơn 250 cửa hàng Magento bị tấn công chỉ sau một đêm do lợi dụng lỗ hổng mới

Hàng trăm website thương mại điện tử sử dụng nền tảng Magento và Adobe Commerce bị khai thác lỗ hổng nghiêm trọng khiến tin tặc truy cập và cài web shell – quản trị nên vá ngay và rà soát hệ thống.

Sóng tấn công lớn nhắm vào nền tảng Magento/Adobe Commerce
Một chiến dịch tấn công quy mô lớn vừa được ghi nhận, khi hơn **250 cửa hàng trực tuyến sử dụng Magento Open Source hoặc Adobe Commerce bị tin tặc khai thác trong vòng chưa đầy 24 giờ. Lỗ hổng bị lợi dụng là dạng xác thực đầu vào không đúng cách trong API REST – cho phép tin tặc chiếm quyền tài khoản khách hàng, tải lên mã độc hoặc web shell.

Mặc dù bản vá đã được phát hành trước đó, tới thời điểm cuộc tấn công diễn ra, vẫn có khoảng 62% cửa hàng chưa cập nhật và đang ở trạng thái dễ bị tổn thương.

Chi tiết về lỗ hổng và cách khai thác

• Lỗ hổng đánh dấu bởi mã xác định dùng trong hệ thống bảo mật như một lỗi nghiêm trọng với điểm CVSS cao.

• Tin tặc gửi các yêu cầu đặc biệt tới endpoint API, sau đó thông qua lỗ hổng tải lên web shell (file PHP) hoặc thực thi mã thao tác lấy thông tin hệ thống.

• Một số payload được phát hiện như web shell PHP và lệnh phpinfo() nhằm kiểm tra cấu hình máy chủ.

• Thời gian từ công bố đến khi bị khai thác trong thực tế rất ngắn – cho thấy kẻ tấn công chuẩn bị kỹ hoặc có sẵn mã khai thác.

Ai đang bị ảnh hưởng và hậu quả tiềm ẩn

• Các cửa hàng thương mại điện tử sử dụng Magento/Adobe Commerce chưa cập nhật.

• Khách hàng của những cửa hàng này có thể bị lộ thông tin tài khoản, đơn hàng, thậm chí dữ liệu thanh toán.

• Doanh nghiệp có thể chịu tổn thất thương hiệu, chi phí khắc phục lớn và rủi ro pháp lý nếu thông tin khách hàng bị rò rỉ.

Khuyến nghị bảo mật cho người vận hành cửa hàng

1. Cập nhật hệ thống ngay – Cài bản vá mới nhất cho Adobe Commerce hoặc Magento.

2. Triển khai Web Application Firewall (WAF) để chặn yêu cầu bất thường tới API nếu chưa thể cập nhật ngay.

3. Quét toàn hệ thống tìm file lạ hoặc web shell – đặc biệt thư mục upload hoặc nơi cho phép tải lên file.

4. Giới hạn quyền truy cập tài khoản quản trị và API – chỉ cho phép từ IP tin cậy hoặc qua VPN.

5. Sao lưu dữ liệu định kỳ và chuẩn bị kế hoạch khôi phục – trong trường hợp máy chủ bị nhiễm.

6. Đào tạo nhân viên và đối tác về rủi ro: cảnh giác với link lạ, email phishing hoặc truy cập hệ thống từ thiết bị không bảo mật.

Việc hơn 250 cửa hàng bị tấn công chỉ sau một đêm là lời cảnh báo mạnh mẽ cho toàn ngành thương mại điện tử sử dụng Magento và Adobe Commerce: vá lỗi không chỉ là việc kỹ thuật – mà là biện pháp sinh tồn cho doanh nghiệp trong môi trường số hiện nay.

Hương