Специалисты Orange Cyberdefense обнаружили масштабную кампанию кибератак, использующую две критические уязвимости в системе управления контентом Craft CMS. Злоумышленники эксплуатируют эти бреши для несанкционированного доступа к серверам и выполнения вредоносного кода.
Детали обнаруженных уязвимостей
Первая уязвимость (CVE-2024-58136) с оценкой 9,0 по шкале CVSS затрагивает PHP-фреймворк Yii, являющийся основой Craft CMS. Проблема связана с некорректной защитой альтернативного пути, что позволяет получить доступ к закрытым функциям системы.
Вторая, более критичная уязвимость (CVE-2025-32432) оценивается максимальными 10 баллами по шкале CVSS и позволяет осуществить удаленное выполнение кода (RCE). Брешь обнаружена в функционале обработки изображений Craft CMS и затрагивает версии 3.x, 4.x и 5.x.
Механизм проведения атак
Исследователи выявили, что атаки начались 14 февраля 2025 года. Злоумышленники используют автоматизированный подход, отправляя множественные POST-запросы для поиска действительного asset ID. После его обнаружения запускается Python-скрипт, проверяющий уязвимость сервера и загружающий вредоносный PHP-файл из GitHub.
Масштаб угрозы и признаки компрометации
По данным на 18 апреля 2025 года, эксперты идентифицировали около 13 000 уязвимых инсталляций Craft CMS, из которых примерно 300 уже скомпрометированы. Основным индикатором попытки взлома являются подозрительные POST-запросы к эндпоинту action/assets/generate-transform, особенно содержащие строку «__class».
Для защиты от этих атак администраторам рекомендуется немедленно обновить Craft CMS до версий 3.9.15, 4.14.15 или 5.6.17, в которых устранены обнаруженные уязвимости. Также критически важно регулярно проверять журналы веб-сервера на наличие подозрительной активности и применять комплексный подход к обеспечению безопасности веб-приложений.
