Atacantes explotan una falla de subida de archivos sin autenticación para alterar miles de tiendas online. El vector permanece activo incluso en la versión más reciente de Magento.
Investigadores de Netcraft identificaron una campaña de hacking a escala global que ha comprometido aproximadamente 7.500 dominios y más de 15.000 hostnames desde el 27 de febrero de 2026. Los atacantes han desplegado archivos de defacement en infraestructura asociada a marcas globales como Toyota, Fiat, Citroën, Asus, FedEx y Yamaha, además de dominios gubernamentales, universidades en América Latina y Qatar,} y organizaciones sin fines de lucro.
El vector de ataque consiste en una vulnerabilidad de subida de archivos sin autenticación que permite a los atacantes escribir archivos directamente en directorios web accesibles públicamente, sin necesidad de credenciales de ningún tipo. Según el análisis técnico de Netcraft, los investigadores confirmaron el fallo al subir exitosamente un archivo de texto a una instancia de prueba ejecutando Magento Community 2.4.9-beta1, la versión más reciente disponible al momento de la publicación. Esto indica que incluso instalaciones actualizadas pueden permanecer expuestas bajo ciertas configuraciones de servidor. El alcance del fallo afecta a Magento Open Source, Magento Enterprise, Adobe Commerce y Adobe Commerce con el módulo B2B.
Los actores detrás de esta campaña operan bajo los identificadores L4663R666H05T, Simsimi, Brokenpipe y Typical Idiot Security.
Las páginas de defacement muestran estos handles acompañados de listas de "greetz", una práctica común en la subcultura del defacement donde los atacantes reconocen públicamente a colaboradores y grupos afiliados. Notablemente, el alias Typical Idiot Security aparece tanto en el contenido del defacement como en la cuenta notificadora que reporta los compromisos a Zone-H, el archivo público histórico de defacements, lo que sugiere que el actor está documentando deliberadamente su propia actividad para construir reputación dentro de la comunidad de defacers.
Aunque la mayoría de los compromisos involucraron subdominios, entornos de staging o tiendas regionales más que sistemas de producción principales, algunos sitios orientados al cliente se vieron afectados brevemente antes de los esfuerzos de remediación. Un subconjunto menor de defacements, aparecido únicamente el 7 de marzo de 2026, incluyó mensajería geopolítica referenciando conflictos recientes.
Sin embargo, el patrón general indica que esta fue una demostración aislada y no la motivación central de la campaña. La naturaleza oportunista del ataque queda evidenciada por la diversidad de víctimas, que incluyen desde dominios de la Trump Organization hasta universidades latinoamericanas, todas atrapadas en un barrido indiscriminado de infraestructura Magento vulnerable.
La campaña presenta similitudes operativas con la vulnerabilidad SessionReaper de Magento documentada en octubre de 2025, que también involucraba acceso no autorizado a archivos. Si bien Adobe publicó recientemente un boletín de seguridad para múltiples vulnerabilidades de Adobe Commerce, los detalles publicados no parecen estar directamente vinculados al comportamiento observado en esta campaña.
La magnitud del incidente, con marcas reconocidas globalmente y dominios gubernamentales afectados, demuestra cómo las plataformas web ampliamente desplegadas pueden convertirse en multiplicadores de fuerza para atacantes que realizan explotación oportunista a escala masiva.
Para las organizaciones que operan infraestructura basada en Magento, las acciones inmediatas recomendadas incluyen revisar todos los endpoints de subida de archivos expuestos, aplicar las actualizaciones de seguridad de Adobe Commerce disponibles sin demora, monitorear activamente los directorios web en busca de adiciones de archivos no autorizadas y investigar exhaustivamente cualquier archivo inesperado en rutas de servidor accesibles públicamente.
Dado que la misma vulnerabilidad que permite depositar archivos de texto también podría usarse para inyectar skimmers de pago en páginas de checkout, el defacement funciona como una señal de advertencia: lo que esta vez fue grafiti digital podría transformarse en robo de datos financieros en la próxima campaña dirigida por actores motivados económicamente.
FUENTE ORIGINAL
Netcraft↗CURADO POR
Alejandro Vargas