كشفت حملة هجوم إلكتروني واسعة النطاق عن اختراق مئات المواقع الإلكترونية التي تعمل بمنصة ماجنتو للتجارة الإلكترونية، إثر استغلال ثغرة أمنية خطيرة سمحت للمهاجمين بالوصول إلى مستوى صلاحيات الجذر (root-level access). وتعد هذه الحادثة واحدة من أكبر موجات الاختراق المنسقة للخوادم على مستوى العالم في الأشهر الأخيرة.
تم تحديد الهجوم في شهر يناير 2026، وشمل مئات المتاجر الإلكترونية عبر مختلف المناطق والصناعات، مما يلقي الضوء على الأهمية المتزايدة لتأمين منصات التجارة الإلكترونية. وتأتي هذه الثغرة، المعروفة بالرمز CVE-2025-54236 أو SessionReaper، كتهديد رئيسي لأمن هذه المنصات.
كيف تم الاختراق؟ آلية استغلال ثغرة ماجنتو
تكمن خطورة الثغرة CVE-2025-54236 في طريقة تعامل منصة ماجنتو مع رموز الجلسات (session tokens). تعمل هذه الرموز كبطاقات هوية رقمية للتحقق من هوية المستخدمين أثناء تصفحهم للموقع. وعندما يفشل التطبيق في إبطال هذه الرموز بشكل صحيح بعد تسجيل خروج المستخدم، يمكن للمهاجمين اعتراضها وإعادة استخدامها.
من خلال إعادة استخدام هذه الرموز الصالحة، يستطيع المهاجمون انتحال صفة مسؤولين شرعيين، متجاوزين بذلك كافة إجراءات الحماية وكلمات المرور. وأشارت تحليلات أجرتها شركة Oasis Security إلى أن عدة جهات مهاجمة مستقلة استغلت هذه الثغرة ضد بيئات ماجنتو مختلفة، مما يدل على انتشار المعرفة بهذه الثغرة وإمكانيات استغلالها.
النتيجة: سيطرة كاملة وتداعيات خطيرة
بعد اكتساب الوصول الأولي عبر اختطاف الجلسات، تمكن المهاجمون من تصعيد صلاحياتهم للوصول إلى مستوى امتيازات الجذر (root access). يعد هذا المستوى الأعلى من التحكم بالنظام على خوادم لينكس، مما يسمح للمهاجمين بتنفيذ أي أوامر بشكل كامل.
وقد استخدم المهاجمون هذه السيطرة لزرع برامج خبيثة من نوع “web shells”، والتي تمنحهم قدرة تنفيذ الأوامر عن بعد. هذا يفتح الباب أمام سهولة التلاعب بالنظام المحتمل وسرقة البيانات الحساسة.
استغلال منهجي للثغرة
كشفت الأبحاث عن قيام المهاجمين بمسح منهجي للأنظمة بحثًا عن نقاط الضعف، حيث تم تحديد أكثر من 1000 واجهة برمجة تطبيقات (API) لمنصة ماجنتو كانت عرضة للخطر. ونجحوا في اختراق 200 موقع إلكتروني، مكتسبين بذلك صلاحيات إدارية شاملة.
تضمنت سجلات الاختراق معلومات مفصلة عن حسابات المستخدمين وبيانات الاعتماد للنظام، مما يشير إلى عمليات استكشاف معمقة للخوادم المختَرقة واحتمال كبير لتسريب بيانات. كما تم اكتشاف بنية تحتية للتحكم والقيادة (Command and Control) تعمل من فنلندا وهونج كونج، مع وجود جهات مهاجمة منفصلة تستهدف وجهات محددة في كندا واليابان.
أظهر المهاجمون تنظيمًا عاليًا من خلال الاحتفاظ بسجلات دقيقة للمواقع المخترقة ومسارات البرامج الخبيثة التي تم نشرها، مما يدعم فرضية وجود استراتيجيات استهداف ممنهجة.
التوصيات الأمنية للمتاجر
تدعو الشركات الأمنية، ومنها Oasis Security، المؤسسات التي تستخدم منصة ماجنتو إلى ضرورة التحديث الفوري لأنظمتها لمعالجة هذه الثغرة. كما يجب مراجعة سجلات الخادم بشكل دوري للبحث عن أي استخدام مشبوه لرموز الجلسات.
يؤكد الانتشار الواسع لهذه الحملة الهجومية على الأهمية القصوى لاتباع إجراءات الأمن السيبراني، بما في ذلك تطبيق التحديثات الأمنية في وقتها المناسب، والمراقبة المستمرة لمنصات التجارة الإلكترونية التي تحتوي على بيانات العملاء ومعلومات الدفع الهامة.