一週之前,資安公司Sansec警告,電商平臺Adobe Commerce與Magento Open Source(以下簡稱Magento)存在資安漏洞PolyShell,由於Adobe只有修補預覽版本2.4.9-alpha3,未對正式版本提供相關更新,且利用的方法已在流傳,網站管理者必須儘速採取行動因應,事隔數日,此漏洞已被廣泛用於攻擊行動。
本週Sansec更新部落格文章指出,他們在3月19日看到第一起實際利用的活動,並在23日出現大規模掃描的情況,約有23%的電商平臺遭到鎖定。
事隔一天,出現大幅變化,因為已發生大規模感染,該公司指出,他們於24日偵測到,有56.7%電商網站被上傳惡意PHP程式碼。
Sansec指出,駭客早在他們公布PolyShell之前(3月16日),就試圖探測存在漏洞的電商網站。從23日開始,他們偵測到有超過50個IP位址用於攻擊活動。
攻擊者試圖上傳多型態(Polyglot)檔案,這些是有效的GIF與PNG圖檔,但也包含能夠執行的PHP程式碼。程式碼大致可區分成兩種型態,一種是搭配cookie通過身分驗證的Webshell,另一種是受到密碼保護的Shell。除此之外,部分攻擊者會透過Unicode混淆手法來處理檔案名稱,企圖影響資安系統的偵測。
