ИИ обнаружил 353 критические уязвимости в популярных расширениях для интернет-магазинов в России

Результаты оказались впечатляющими: 353 подтверждённые уязвимости

Как ИИ-хакер за $30 крадёт данные прямо сейчас

Вот реальная история, после которой я не спал две ночи. Наш SOC получил сигнал от WAF одного крупного маркетплейса — подозрительные запросы к админке. Оказалось, через кастомное расширение для расчёта доставки атакующие полгока выгружали базы с платёжками. Владелец узнал только после того, как клиенты начали жаловаться на списания. А ведь всё началось с одной строчки уязвимого кода в модуле, который скачали 50 000 раз. Сейчас такое происходит массово.

Новость от Sansec про 353 критические дыры в расширениях — это не просто «ещё одно исследование».

Это прямой сигнал тревоги для каждого, у кого есть интернет-магазин на Magento, WooCommerce, Bitrix. Представьте: 5.9 миллионов установок этих модулей. Шанс, что у вас стоит хотя бы один проблемный, — выше 80%, по моим наблюдениям. И самое неприятное — экономика атак изменилась навсегда.

Проблема, которую годами игнорировали: открытые экосистемы — это минное поле

Знаете, в чём главная иллюзия? Кажется, что раз модуль популярный, его проверили. На практике всё с точностью до наоборот. Взгляните на репозитории вроде Packagist: первые 100 пакетов — под микроскопом. Следующие 5 000 — это дикий Запад. Никто не смотрит. А ведь именно их качают средние и малые бизнесы, у которых нет своего легиона пентестеров.

Я как-то проводил аудит для сети магазинов обуви. У них стояло 17 расширений. Из них 4 — с критическими уязвимостями, включая RCE (удалённое выполнение кода). И знаете, что удивляет? Все модули были с высоким рейтингом и тысячами установок. Вендор просто забыл закрыть дыру после обновления ядра два года назад. А магазин чуть не стал источником утечки 300 000 карт.

Как работает этот ИИ-конвейер и почему это меняет правила игры

Методология Sansec — это не магия, а грамотная инженерия. Но она показывает, насколько мы отстали. Их четырёхступенчатый конвейер на базе Claude Opus — это, по сути, автономный пентестер. Он не просто ищет баги, а валидирует их, запуская реальные атаки в Docker-среде. Представьте: ИИ сам поднимает чистый Magento, ставит модуль, находит эндпоинт и бьёт по нему curl-запросом, проверяя, можно ли вытащить данные.

И тут начинается самое интересное. Точность — 79%. Это невероятно высокий процент для автоматики. Система нашла 447 потенциальных проблем, из которых подтвердились 353. Лично меня больше всего пугает не RCE, а 265 случаев обхода аутентификации. Это же золотая жила для мошенников! Залетел на сайт, нашёл уязвимый модуль корзины или платёжки — и можешь менять заказы, назначать нулевые цены, отменять оплаченные транзакции. Для бизнеса это прямой и быстрый убыток.

Экономика взлома рухнула: $30 за работающий эксплойт

Вот цифра, которая должна заставить вздрогнуть каждого CISO: полный цикл от поиска дыры в Packagist до создания работающего эксплойта с помощью LLM стоит около 30 долларов. Повторю: тридцать долларов. Раньше это была работа команды за десятки тысяч. Теперь — вопрос вычислительного бюджета.

Исследование Sansec обошлось в 10 000$ на API-вызовы. Это 2$ за глубокий аудит одного расширения с проверкой на эксплуатацию. Задумайтесь. Злоумышленник может вложить 10 000$ и получить на руки базу из 350+ рабочих уязвимостей для самых популярных модулей. Рентабельность — заоблачная. Если раньше хакеры целились в «китов», то теперь могут точечно бить по тысячам средних магазинов. Автоматизированно. И это уже не теория.

А вы проверяли, какие модули стоят у вас на сайте за последние 90 дней?

Реальная оборотная сторона — тишина. Инцидент не всегда выглядит как DDoS-атака или шифровальщик. Это могут быть тихие, почти незаметные манипуляции. Например, через SQL-инъекцию в модуле отзывов выгружают базу клиентов по 100 записей в день. Или через уязвимость чтения файлов подглядывают за конфигурационными данными, чтобы потом ударить точно в цель.

В практике нашего CTI-отдела был случай: магазин электроники потерял всю конкурентную аналитику по предзаказам. Оказалось, модуль для предзаказов имел дыру, через которую можно было получить доступ к данным других пользователей. Конкурент просто сканировал сайты на наличие этого модуля и вёл постоянный мониторинг. Убытки — не только прямые, но и репутационные. Клиенты ушли, узнав, что их данные у конкурента.

10 правил выживания для интернет-магазина в 2026 году (основано на горьком опыте)

1. Ревизия расширений — раз в квартал. Выпишите ВСЕ модули. По каждому задайте вопросы: он критически важен? Есть ли у вендора CVE? Когда последнее обновление? Вы удивитесь, сколько мёртвого кода висит балластом.
2. Принцип минимальных привилегий для модулей. Жёстко ограничьте права в файловой системе и БД. Пусть расширение для платёжки не лезет в модуль отзывов. Это останавливает 40% атак на перемещение.
3. WAF — не как «галочка», а как настраиваемый щит. Используйте правила, которые предлагают исследователи (как в Sansec). Настройте сигналирование на любые запросы к эндпоинтам кастомных модулей.
4. Мониторинг исходящего трафика с бэкенда. Многие эксплойты вывозят данные на внешние серверы. Аномальный исходящий трафик — часто первый и единственный звонок.
5. Сегментация сети. База данных с платёжными данными не должна «видеть» фронтенд-сервер напрямую. Используйте промежуточные API с жёсткой аутентификацией.
6. Человеческий фактор. Обучите не только админов, но и контент-менеджеров. Часто атака начинается с фишинга на сотрудника, который имеет доступ к CMS для обновления каталога.
7. План реагирования на инциденты с модулями. Чёткий алгоритм: если найдена уязвимость в модуле X — отключить, откатить, сообщить вендору, оповестить клиентов (если затронуты их данные). По 152-ФЗ это обязательно.
8. Вендорский риск-менеджмент. Заключайте договоры, где есть пункты об ответственности за безопасность кода и обязательном аудите. Требуйте отчеты.
9. Регулярные пентесты с фокусом на бизнес-логику. Не только сканирование портов, а именно сценарии: «а могу ли я, как покупатель, изменить сумму заказа?».
10. Признайте, что вы не можете уследить за всем сами. Партнёрство с SOC (как внешним, так и внутренним) — не роскошь, а страховка. Угрозы теперь опережают внутренние возможности в 9 из 10 компаний.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

══════

FAQ: самые острые вопросы от владельцев бизнеса

1. Какая уязвимость самая опасная из найденных?
   Обход аутентификации. Она тихая, её сложно заметить в логах, а ущерб — прямой финансовый. Мошенник может оформить заказ без оплаты или назначить себе скидку 100%.
2. Меня защитит, если я просто всё буду вовремя обновлять?
   Увы, нет. Многие модули становятся «сиротами», вендоры их забрасывают. Обновление не придёт никогда. Нужен проактивный поиск и замена.
3. Как понять, что на меня уже напали через модуль?
   Косвенные признаки: аномальная нагрузка на БД в нерабочее время, странные логи в access.log с вызовами редких API модулей, жалобы клиентов на «исчезнувшие» заказы или списания.
4. Я использую облачную CMS (SaaS). Это меня защищает?
   Не полностью. Если SaaS-платформа позволяет ставить кастомные модули/виджеты, риск смещается на них. Уточните у провайдера, кто отвечает за безопасность сторонних расширений.
5. Сколько времени нужно хакеру, чтобы найти и использовать дыру?
   С современными ИИ-инструментами — от нескольких часов до пары дней. Автоматическое сканирование на популярные модули ведётся круглосуточно.
6. Что важнее: DLP или WAF для защиты магазина?
   Вопрос некорректный. Нужны оба слоя. WAF пытается не пустить атаку, а DLP (или её аналоги для веба) заметит утечку, если атака прошла. Это не «или/или», а последовательные рубежи.
7. Обязан ли я по 152-ФЗ проверять все эти модули?
   Если вы обрабатываете персональные данные (а вы их обрабатываете), то обязаны обеспечить их безопасность. Модуль, имеющий доступ к ПД, — часть этой системы. Его уязвимость — ваша ответственность.
8. EDR на серверах поможет?
   EDR (Endpoint Detection and Response) — отличная вещь, но многие атаки на уровне веб-приложения он не увидит. Нужна связка: EDR на инфраструктуре + WAF + мониторинг логов приложения.
9. Стоит ли покупать «закрытые» платные модули вместо бесплатных?
   Не гарантия. Платный — не значит безопасный. Важна репутация вендора, его практики разработки (DevSecOps), публикация security advisories.
10. Что делать прямо сейчас, если нет бюджета на безопасность?
    Минимум: 1) Выключите все модули, без которых работает ядро магазина. 2) Поставьте бесплатный cloud-based WAF (есть у многих CDN). 3) Включите детальное логирование всех действий в админке и странных запросов. Это даст хоть какой-то след для будущего расследования.

Это уже не будущее. Это настоящее, в котором живут все, кто работает в e-commerce. ИИ-инструменты в руках защитников — это прорыв. Но те же инструменты в руках злоумышленников делают угрозу демократичной, дешёвой и масштабируемой. Ваша безопасность теперь упирается не в стоимость дорогого аудита, а в системность подхода и скорость реакции.

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]