Serangan PolyShell Targetkan 56% Toko Magento yang Rentan
Serangan yang memanfaatkan kerentanan ‘PolyShell’ pada instalasi Magento Open Source dan Adobe Commerce versi 2 saat ini sedang berlangsung dan telah menargetkan lebih dari separuh toko web yang rentan.
Menurut perusahaan keamanan e-commerce Sansec, kelompok peretas mulai mengeksploitasi masalah keamanan kritis PolyShell secara massal pada minggu lalu, hanya dua hari setelah kerentanan tersebut diungkapkan ke publik.
“Eksploitasi massal PolyShell dimulai pada 19 Maret, dan Sansec kini telah menemukan serangan PolyShell di 56,7% dari keseluruhan toko yang rentan,” ungkap pihak Sansec.
Para peneliti sebelumnya memaparkan bahwa inti masalah ini terletak pada REST API milik Magento. Sistem tersebut menerima unggahan berkas (file uploads) sebagai bagian dari opsi kustom untuk item yang dimasukkan ke keranjang belanja. Celah ini memungkinkan penyerang untuk mengunggah berkas polyglot yang dapat berujung pada eksekusi kode jarak jauh (RCE) atau pengambilalihan akun secara penuh melalui celah Cross-Site Scripting (XSS) tersimpan, terutama jika konfigurasi server web memungkinkan eksekusi tersebut.+2
Adobe sebenarnya telah merilis perbaikan awal pada versi 2.4.9-beta1 pada 10 Maret 2026 lalu, namun perbaikan tersebut belum diimplementasikan ke cabang stabil (stable branch). Saat ini, Sansec telah memublikasikan daftar alamat IP jahat yang secara aktif memindai toko-toko web yang rentan terhadap PolyShell agar administrator dapat memblokirnya.+1
Ancaman Skimmer Kartu WebRTC
Sansec juga melaporkan temuan mengejutkan bahwa dalam beberapa serangan yang diduga kuat mengeksploitasi PolyShell, aktor ancaman turut menyebarkan alat pencuri data kartu pembayaran (skimmer) jenis baru. Skimmer ini sangat canggih karena menggunakan protokol Web Real-Time Communication (WebRTC) untuk mengeksfiltrasi (mengeluarkan) data curian.
WebRTC beroperasi menggunakan UDP yang dienkripsi dengan DTLS alih-alih menggunakan jalur HTTP standar. Karakteristik ini membuatnya jauh lebih mudah untuk menembus kontrol keamanan konvensional, bahkan pada situs web yang telah menerapkan kontrol Kebijakan Keamanan Konten (CSP) yang ketat seperti parameter connect-src.
Cara kerja skimmer ini terbilang unik:
- Skimmer berwujud pemuat JavaScript yang sangat ringan.
- Alat ini langsung terhubung ke server komando dan kontrol (C2) hardcoded melalui WebRTC. Ia dapat melewati proses persinyalan normal dengan menyematkan pertukaran protokol SDP palsu.
- Skimmer kemudian menerima muatan (payload) tahap kedua melalui saluran terenkripsi tersebut.
- Selanjutnya, ia mengeksekusi muatan itu sambil secara aktif menghindari CSP—biasanya dengan menggunakan kembali nonce skrip yang sudah ada pada halaman, atau mundur menggunakan fungsi
unsafe-evalmaupun injeksi skrip secara langsung. - Untuk meminimalkan risiko terdeteksi, eksekusi kode akan sengaja ditunda menggunakan fungsi
requestIdleCallback.
Sansec mencatat bahwa skimmer tingkat lanjut ini bahkan berhasil terdeteksi bersarang pada situs web e-commerce milik sebuah perusahaan pembuat mobil bernilai lebih dari USD 100 miliar, yang secara mengejutkan tidak menanggapi satupun pemberitahuan keamanan yang mereka kirimkan.
Untuk membantu para administrator TI dan pelindung jaringan, para peneliti kini telah menyediakan serangkaian Indikator Kompromi (IoC) publik yang dapat digunakan untuk melindungi sistem dari kampanye serangan PolyShell ini.
