Für Administratoren von Adobe Commerce und Magento Open Source war der Winter 2025/2026 alles andere als besinnlich. Während die Marketing-Teams noch die Umsätze des Weihnachtsgeschäfts feierten, tauchte im Darknet ein Exploit auf, den Sicherheitsforscher treffend „SessionReaper“ getauft haben.
Es geht um die kritische Schwachstelle CVE-2025-54236. Das ist keine theoretische Warnung mehr. Seitdem das Metasploit-Framework im Januar ein automatisiertes Modul dafür erhalten hat, ist die Hürde für Angreifer gefallen. Was früher Expertenwissen erforderte, ist heute ein Mausklick.
In diesem Artikel analysiere ich die Mechanik des Angriffs, warum herkömmliche Firewalls oft blind sind und wie Sie erkennen, ob Ihr Shop längst Kundendaten an Dritte sendet.
Was ist CVE-2025-54236?
In aller Kürze: Es handelt sich um eine unauthentifizierte Remote Code Execution (RCE). Das ist der „Heilige Gral“ für Angreifer. Um Ihren Shop zu übernehmen, benötigt der Hacker kein Admin-Passwort, keinen Login und nicht einmal ein Kundenkonto. Ein einziges, manipuliertes Netzwerkpaket genügt.
Das Problem liegt tief im Kern von Magento, genauer gesagt im Session-Handling. Die Engine vertraut den Daten, die in Cookies oder Session-Headern übermittelt werden, zu sehr.
Die Technik: Die „Matrjoschka“ des Todes (Nested Deserialization)
Um „SessionReaper“ zu verstehen, müssen wir kurz über Deserialisierung sprechen. PHP-Anwendungen wandeln komplexe Datenobjekte in Zeichenketten um (Serialisierung), um sie zu speichern, und später wieder zurück (Deserialisierung).
Wenn ein Angreifer dem Server eine bösartige Zeichenkette unterjubelt, kann beim „Entpacken“ Schadcode ausgeführt werden. Magento hat viele solcher Lücken geschlossen, doch CVE-2025-54236 nutzt einen perfiden Trick: Verschachtelte Deserialisierung (Nested Deserialization).
So funktioniert der Angriff:
- Magento prüft die äußere Schicht der Daten. Diese sieht legitim und harmlos aus, weshalb viele Sicherheitsmechanismen (WAFs) sie durchlassen.
- Doch im Bauch dieses legitimen Objekts steckt ein weiteres, verpacktes Objekt.
- Wenn das System die Session verarbeitet, wird diese zweite Ebene entpackt.
- Hier zündet der Payload. Der Server erstellt ein „Geister-Objekt“, das Systembefehle ausführt oder eine Reverse Shell zum Angreifer öffnet.
Bildlich gesprochen: Der Angreifer schuggelt eine Waffe durch die Kontrolle, indem er sie in einer Matrjoschka-Puppe versteckt, die wiederum in einem harmlosen Koffer liegt. Der Scanner prüft den Koffer, öffnet aber die Puppe nicht.
Warum das Metasploit-Modul die Lage eskaliert
Bis Ende 2025 erforderte dieser Angriff das manuelle Erstellen komplexer „Gadget Chains“ (PHP-Code-Fragmente). Das war Handarbeit.
Das neue Metasploit-Modul hat diesen Prozess industrialisiert:
- Es scannt das Ziel und erkennt die Magento-Version.
- Es generiert automatisch das perfekt passende, vergiftete Session-Cookie für die laufende PHP-Version.
- Es sendet den Request.
- Das Ergebnis: Sekunden später hat der Angreifer eine Meterpreter-Session mit den Rechten des Webservers (meist
www-data).
Die Zeitspanne zwischen „Scan“ und „Vollzugriff“ liegt nun im Millisekundenbereich.
Die eigentliche Gefahr: Magecart und digitales Skimming
Warum wollen Hacker Ihren Server? Sie werden Ihre Seite nicht verunstalten. Das wäre zu auffällig. In 99 % der Fälle dient der SessionReaper dazu, einen Magecart-Skimmer zu installieren.
Mit den erlangten Rechten modifizieren die Angreifer eine einzige JavaScript-Datei (z. B. jquery.js oder ein Analytics-Skript), die im Checkout geladen wird. Wenn Ihr Kunde nun seine Kreditkartendaten eingibt, kopiert dieses Skript die Zahlen still und heimlich an einen Server in Übersee. Der Kaufprozess läuft normal weiter, das Geld kommt bei Ihnen an. Aber sechs Monate später melden sich VISA oder Mastercard mit horrenden Strafzahlungen wegen Datenlecks bei Ihnen.
Wer ist betroffen?
Fast alle Installationen, die den Patch von Ende 2025 nicht eingespielt haben:
- Adobe Commerce (alle Versionen vor dem Patch).
- Magento Open Source (früher Community Edition).
- Magento Commerce (On-Premise & Cloud).
Besonders gefährdet sind Shops, die Redis oder das Dateisystem für Sessions nutzen, ohne strikte Validierung konfiguriert zu haben.
Der Notfallplan: Wie Sie sich schützen
Wenn Sie einen Magento-Shop betreiben, gibt es kein „morgen“. Handeln Sie jetzt.
1. Patchen (Kritisch) Installieren Sie sofort das offizielle Sicherheitsupdate von Adobe (Security Patch APSB25-XX). Falls ein Full-Upgrade nicht möglich ist, nutzen Sie den isolierten Hotfix für CVE-2025-54236.
2. WAF scharfschalten Moderne Web Application Firewalls (Cloudflare, AWS WAF, Fastly) können Blockier-Regeln anwenden. Suchen Sie nach Mustern von serialisierten PHP-Objekten in Cookie oder X-Forwarded-For Headern (z. B. Strings, die mit O:14:"... beginnen).
3. Kryptografische Schlüssel rotieren Nach dem Patchen müssen Sie die Encryption-Keys in app/etc/env.php ändern. Das macht alle bestehenden Sessions ungültig. Falls sich ein Angreifer bereits eingenistet hat („Persistenz“), werfen Sie ihn so aus der Session-Tabelle.
4. Integritäts-Check (File Integrity Monitoring) Nutzen Sie Scanner wie eComscan oder Sansec, um zu prüfen, ob Ihre JavaScript-Dateien verändert wurden. Das ist der einzige Weg, einen bereits aktiven Skimmer zu finden.
Fazit
Die Schwachstelle „SessionReaper“ führt uns vor Augen, dass E-Commerce das lukrativste Ziel für Cyberkriminelle bleibt. Die Hürden für einen Angriff sind gefallen, die möglichen Beutesummen durch Kreditkartendiebstahl sind gigantisch.
Dass Metasploit nun einen „Knopf“ für Magento-Hacks hat, bedeutet: Sie werden nicht mehr nur von Profis gescannt, sondern von automatisierten Bot-Armeen. Prüfen Sie Ihren Shop. Jetzt.
Andere Artikel:
