Команда дослідників Orange Cyberdefense виявила масштабну кампанію кібератак, спрямовану на експлуатацію двох критичних вразливостей у популярній системі керування контентом Craft CMS. Зловмисники активно використовують ці вразливості для несанкціонованого доступу до серверів та виконання шкідливого коду, що становить серйозну загрозу для тисяч веб-ресурсів.
Аналіз виявлених вразливостей
Перша вразливість (CVE-2024-58136) отримала критичну оцінку 9,0 за шкалою CVSS та пов’язана з недоліками в PHP-фреймворку Yii, який є основою Craft CMS. Проблема полягає в неналежному захисті альтернативних шляхів, що дозволяє зловмисникам отримати доступ до привілейованих функцій системи.
Друга вразливість (CVE-2025-32432) є ще небезпечнішою, отримавши максимальні 10 балів за шкалою CVSS. Вона дозволяє здійснювати віддалене виконання коду (RCE) через вразливий компонент обробки зображень у версіях Craft CMS 3.x, 4.x та 5.x.
Технічні особливості атак
Початок активної фази атак зафіксовано 14 лютого 2025 року. Зловмисники застосовують автоматизований підхід, надсилаючи множинні POST-запити для пошуку дійсного asset ID. Після успішного виявлення запускається спеціалізований Python-скрипт, який перевіряє вразливість цільового сервера та завантажує шкідливий PHP-файл з репозиторію GitHub.
Масштаби загрози та індикатори компрометації
Станом на 18 квітня 2025 року експерти ідентифікували приблизно 13 000 вразливих інсталяцій Craft CMS, з яких близько 300 вже скомпрометовано. Основною ознакою спроби злому є підозрілі POST-запити до endpoint’у action/assets/generate-transform, особливо ті, що містять рядок “__class”.
Для захисту від цих атак фахівці з кібербезпеки наполегливо рекомендують негайно оновити Craft CMS до захищених версій: 3.9.15, 4.14.15 або 5.6.17. Критично важливо також регулярно моніторити логи веб-сервера на предмет підозрілої активності та впроваджувати комплексний підхід до захисту веб-додатків, включаючи використання WAF-рішень та своєчасне встановлення оновлень безпеки.
