Orange Cyberdefense hat eine großangelegte Angriffskampagne aufgedeckt, die zwei kritische Sicherheitslücken im beliebten Content Management System Craft CMS ausnutzt. Die Schwachstellen ermöglichen Angreifern unbefugten Serverzugriff und das Einschleusen von Schadcode. Diese Entdeckung stellt eine ernsthafte Bedrohung für tausende Unternehmenswebsites dar.
Analyse der kritischen Sicherheitslücken
Die erste identifizierte Schwachstelle (CVE-2024-58136) betrifft das PHP-Framework Yii, das als Grundgerüst von Craft CMS dient. Mit einem CVSS-Score von 9,0 ermöglicht diese Sicherheitslücke durch mangelhafte Pfadvalidierung den Zugriff auf geschützte Systemfunktionen. Die zweite, noch kritischere Schwachstelle (CVE-2025-32432) erreicht den maximalen CVSS-Score von 10,0 und erlaubt Remote Code Execution (RCE) über die Bildverarbeitungsfunktionen des CMS. Betroffen sind die Versionen 3.x, 4.x und 5.x.
Technische Details der Angriffsmethode
Die Angriffskampagne startete am 14. Februar 2025 mit einem hochautomatisierten Ansatz. Die Angreifer verwenden systematische POST-Requests zur Identifikation gültiger Asset-IDs. Nach erfolgreicher Identifikation wird ein Python-Script ausgeführt, das die Servervulnerabilität verifiziert und anschließend einen schädlichen PHP-Payload von GitHub nachlädt.
Bedrohungsanalyse und Erkennungsmöglichkeiten
Aktuelle Analysen von Orange Cyberdefense identifizierten etwa 13.000 gefährdete Craft CMS Installationen, wovon bereits 300 kompromittiert wurden. Charakteristisch für Angriffsversuche sind verdächtige POST-Requests an den Endpunkt „action/assets/generate-transform“, insbesondere solche mit dem Parameter „__class“. Diese Aktivitäten hinterlassen eindeutige Spuren in den Server-Logs.
Zur Absicherung gegen diese Bedrohung wird ein sofortiges Update auf die gepatchten Versionen Craft CMS 3.9.15, 4.14.15 oder 5.6.17 dringend empfohlen. Systemadministratoren sollten zusätzlich ihre Webserver-Logs regelmäßig auf verdächtige Aktivitäten prüfen und eine mehrstufige Sicherheitsstrategie implementieren. Dies umfasst Web Application Firewalls, regelmäßige Sicherheitsaudits und ein proaktives Patch-Management. Nur durch zeitnahe Updates und kontinuierliche Überwachung lässt sich das Risiko einer erfolgreichen Kompromittierung effektiv minimieren.
