Kritieke Magento-kwetsbaarheid (‘SessionReaper’): wat dit voor jouw B2B-webshop betekent en wat je nú kunt doen

De afgelopen weken zijn er, zoals je mogelijk al weet, opnieuw gerichte aanvallen op Magento-webshops ontdekt. Zelfs bij shops die netjes de laatste beveiligingspatches hebben geïnstalleerd. Dat klinkt tegenstrijdig, maar het laat één ding zien: alleen patchen is niet genoeg. Net zoals je een pand niet alleen met een nieuw slot beveiligt, maar ook met een alarm, camera en toegangsbeleid, zo heeft je webshop ook meerlaagse beveiliging nodig.

In dit artikel leggen we voor je uit:

• wat er aan de hand is (de zogeheten SessionReaper-kwetsbaarheid),
• hoe je snel inschat of je risico loopt,
• welke acties je vandaag al kunt nemen,
• en hoe 'Sansec Shield' kan helpen als extra beschermlaag — naast de standaard Magento-maatregelen.

Wat is er aan de hand?

Adobe heeft in september en oktober meerdere noodpatches uitgebracht voor Adobe Commerce en Magento Open Source, waaronder de updates uit APSB25-88 en APSB25-94. De belangrijkste: een kritieke kwetsbaarheid in de REST API (CVE-2025-54236), in de community ook wel “SessionReaper” genoemd. Aanvallers misbruiken deze bug om sessies over te nemen en soms zelfs code uit te voeren. Adobe en security-researchers melden actieve exploitatie; er zijn campagnes gedetecteerd die op grote schaal winkels scannen en aanvallen.

Belangrijk om te weten:

• Patches zijn cruciaal; ze dichten bekende gaten.
• Nieuwe aanvallen blijven komen; criminelen zoeken continu naar varianten en nog niet ontdekte kwetsbaarheden. Een patch is dus geen absolute garantie.

Wat wij al gedaan hebben

Voor onze klanten hebben we de recente Adobe-patches doorgevoerd (APSB25-88 en APSB25-94) en verdachte bestanden verwijderd uit pub/media/customer_address/. Daarmee is het directe risico verkleind. Maar omdat aanvallers nieuwe paden blijven proberen, adviseren we een extra, structurele beveiligingslaag bovenop patchen te implementeren.

Ben ik kwetsbaar? De snelle check

Je hoeft geen developer te zijn om een eerste inschatting te maken:

1. Versie & patchlevel (voor Magento Open Source per november 2025!)
   Vraag je bureau of hostingpartij of je minimaal op de meest recente patchlijn binnen jouw versie zit (bijvoorbeeld 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p14, 2.4.4-p13). Staat je shop op een oudere patch? Dan is er werk aan de winkel. experienceleague.adobe.com
2. Hotfix toegepast?
   Voor SessionReaper is in september een hotfix gepubliceerd die later in de reguliere patchlijnen is opgenomen. Verifieer dat deze fix (of de opvolgende patch) op jouw omgeving is geïnstalleerd.
3. Sporen nalopen
   Laat je logs en bestanden scannen op verdachte uploads of webshells. Sansec rapporteerde in de praktijk honderden aanvallen in korte tijd; snelle detectie is het verschil tussen vals alarm en een serieus datalek.

Sta je niet op de laatste patch voor jouw versie, of twijfel je of de hotfix goed is toegepast, dan loop je onnodig risico.

Wat je vandaag kunt doen

1. Patchen naar de juiste patchlijn
Plan direct de update naar de laatste patch binnen jouw release-lijn. Dit is letterlijk het dichtdraaien van de inmiddels bekende kraan.

2. Toegang beperken waar het kan
Laat alleen noodzakelijke API-toegang toe (bijvoorbeeld via IP-allowlisting voor integraties), houd rechten zo minimaal mogelijk en gebruik aparte API-sleutels per systeem. Dat beperkt de schade als er toch iets misgaat. (Best practice; door Adobe en security-partijen aanbevolen.)

3. Monitoring en scanning inschakelen
Zet actieve monitoring op bestandsuploads, afwijkende inlogpatronen en verdachte scripts. Een scanner zoals Sansec eComscan of een Security info dashboard helpt om snel te zien of er iets buiten de lijntjes kleurt.

4. Web Application Firewall (WAF)
Heb je Commerce Cloud? Dan is er WAF-bescherming beschikbaar. Zorg dat die goed geconfigureerd is. Voor on-prem/hosted varianten kun je via je hostingpartij of gespecialiseerde security-provider extra filters activeren.

Waarom extra bescherming nodig blijft (zelfs na patchen)

Een patch dicht een deur die al ontdekt is. Maar criminelen testen dagelijks nieuwe ramen en achterdeuren. In de weken na de eerste SessionReaper-patch zagen we al grootschalige, geautomatiseerde aanvallen, vaak gericht op bestandsuploads en sessiemanipulatie. De realiteit: patchen blijft noodzakelijk, maar is niet voldoende als enige maatregel.

Sansec Shield als aanvullende laag

Wat is het?
Sansec Shield is een Magento-specifieke, realtime beschermlaag die ongewenste uploads en verdachte acties blokkeert vóórdat ze schade aanrichten. Het is ontworpen door Magento-securityspecialisten (Sansec) en focust op platform-specifieke dreigingen die generieke WAF’s soms missen. Denk aan: “probeert iemand een PHP-bestand te droppen waar dat niet hoort?”, of “wordt er misbruik gemaakt van een net ontdekt API-pad?”.

Wat levert het op voor jou?

• Minder stress & downtime: Shield houdt veel rotzooi buiten de deur, zodat je niet in paniek hoeft te hotfixen middenin het hoogseizoen.
• Sneller ingrijpen: je krijgt alerts (o.a. via Slack) als er verdachte activiteiten plaatsvinden.
• Kostenbesparing: minder spoedwerk door developers, minder herstelwerk na incidenten. Sansec positioneert Shield expliciet als middel om patchdruk te verlagen zonder onnodig risico te nemen.

Wat kost het ongeveer?
Voor Magento 2 is Sansec Advanced de gangbare licentie voor effectieve bescherming; Sansec communiceert prijzen publiekelijk (richtprijs op hun site). Wij adviseren deze variant als basis, juist voor B2B-shops met meerdere omgevingen of hogere orderwaarden.

Belangrijk: Shield vervángt patches niet, het vult aan. Zie het als beveiliging die actief voorkomt dat kwaadwillenden überhaupt iets kunnen uploaden of uitvoeren, óók bij kwetsbaarheden die pas later bekend worden.

Concreet stappenplan (3 lagen)

Laag 1 Basis op orde (vandaag en terugkerend):

• Update naar de laatste patchlijn die bij jouw release past (bijv. 2.4.8-p3).
• Check of de SessionReaper-hotfix onderdeel is van je build.
• Verwijder verdachte bestanden (o.a. in pub/media/…) en scan je shop.
• Review API-toegang: alleen wie écht iets moet, krijgt toegang.

Laag 2 Actieve bescherming (structureel):

• Installeer Sansec Shield om uploads/aanvallen realtime te blokkeren en alerts te krijgen bij verdachte activiteit.
• Zet een WAF (goed) aan/configureer hem.
• Gebruik log-monitoring met heldere alarmdrempels.

Laag 3 Operationele fitheid (blijvend):

• Automatiseer testen van checkout en kritieke API-koppelingen, zodat patches sneller live kunnen.
• Leg afspraken vast over incidentrespons: wie belt wie, welke stappen, hoe communiceren we met klanten?

Wat betekent dit zakelijk voor B2B-e-commerce?

• TCO (total cost ownership) en risicobeheersing: de kosten van een incident (forensics, herstel, datalekmelding, reputatieschade) zijn vrijwel altijd hoger dan structurele preventie. Een extra beschermlaag is vaak goedkoper dan herhaald spoedwerk.
• Continuïteit in sales: downtime raakt je omzet direct, zeker bij dealerportals en herhaalbestellingen.
• Compliance en klantvertrouwen: aantoonbare maatregelen helpen bij audits, (cyber)verzekeringen en contracten met key accounts.

Veelgestelde vragen van e-commerce managers

“We patchen toch altijd snel. Waarom dan alsnog Sansec Shield?”
Omdat niet elke kwetsbaarheid direct bekend is en omdat sommige patches bij jou net even langer in test staan (bijv. door ERP- of PIM-koppelingen). Shield is je airbag: je wilt ’m hebben als het misgaat.

“Breekt zo’n patch mijn shop niet?”
Patch-releases zijn uitgebreid getest, maar kunnen impact hebben op extensies. Daarom: goed testen (staging), rollback-plan klaar.

“Zijn we met Commerce Cloud automatisch veilig?”
Je hebt voordeel van een WAF, maar configuratie en aanvullende maatregelen blijven nodig. Bovendien richt Sansec Shield zich op Magento-specifieke patronen die generieke WAF’s niet altijd afvangen.

Checklist: 12 punten die we samen nalopen

1. Versie & patchlevel verifiëren t/m 2.4.8-p3 / 2.4.7-p8 / 2.4.6-p13 / 2.4.5-p14 / 2.4.4-p13.
2. SessionReaper-hotfix bevestigd?
3. WAF actief en correct geconfigureerd?
4. Sansec Shield geïnstalleerd/geconfigureerd?
5. Scan uitgevoerd op verdachte uploads/webshells.
6. API-sleutels opgeschoond en per systeem gescheiden.
7. Rechtenbeleid: “least privilege” voor admin/API-accounts.
8. 2FA en wachtwoordbeleid voor alle admin-logins.
9. Logging en alerts actief (incl. Slack/e-mail).
10. Back-ups getest op herstel.
11. Release- en testritme vastgelegd (maandelijks/kwartaal).
12. Incidentresponse-stappen en communicatieplan op 1 A4.

Vooruitkijken: wat brengt de volgende release?

Terwijl we dit schrijven, werkt Adobe aan 2.4.9 (alfa’s zijn gepubliceerd). Verwacht daarin doorlopende fixes en compatibiliteitsupdates (o.a. zoek-/cache-componenten). Onze aanbeveling: nu patchen naar de laatste patchlijn en parallel je route naar 2.4.9 voorbereiden zodra deze live gaat. Zo spreid je risico’s en werkdruk.

Onze aanbeveling (tl;dr)

• Patch nu naar de laatste patch binnen jouw versie en controleer de SessionReaper-hotfix.
• Voeg Sansec Shield toe als structurele, Magento-specifieke beschermlaag tegen uploads en verdachte activiteiten.
• Houd monitoring & WAF aan en borg een strak update- en testritme.

Wil je dat we dit voor je regelen? We bieden een upgrade-sprint naar de laatste patch plus een Shield-implementatie tegen gereduceerd tarief. We laten precies zien wat we doen en wat het oplevert — in begrijpelijke taal, met oog voor je businesscontinuïteit. (Sansec Advanced is vereist voor adequate bescherming van Magento 2) Dus neem graag contact met ons op voor meer informatie.