В середине февраля 2025 года команда Orange Cyberdefense исследовала взлом сервера с CraftCMS (версия 4.12.8), где злоумышленник использовал две уязвимости — CVE-2024-58136 и CVE-2025-32432.
Описание
Взлом через CVE-2025-32432
- Атакующий нашел валидный assetId, отправив множество POST-запросов к /admin/actions/assets/generate-transform.
- Уязвимость позволяла выполнить произвольный PHP-код через десериализацию в Yii Framework.
- Злоумышленник загрузил файловый менеджер (filemanager.php) и переименовал его в autoload_classmap.php.
Технические детали уязвимости
- Уязвимость связана с неправильной проверкой assetId в CraftCMS 4.x/5.x.
- Атакующий внедрял вредоносный JSON, используя __class для вызова GuzzleHttp\Psr7\FnStream и выполнения кода (например: phpinfo).
- Для RCE использовался yii\rbac\PhpManager, загружающий PHP-код из сессионного файла.
Содержание
Масштаб проблемы
- Сканирование показало 13 000 уязвимых серверов, из которых 300 уже скомпрометированы.
- Большинство уязвимых систем находятся в США.
Рекомендации по защите:
- Обновить CraftCMS до последней версии.
- Проверить логи на POST-запросы к /generate-transform.
- Мониторить появление файлов filemanager.php или autoload_classmap.php.
Индикаторы компрометации
IPv4
- 103.106.66.123
- 172.86.113.137
- 104.161.32.11
- 154.211.22.213
- 38.145.208.231
MD5
- d8fddbd85e6af76c91bfa17118dbecc6
SHA1
- e6c3e12f6712719f69f40fb6f06e2b60facd8e61
SHA256
- dce988346f98d55b97f7ca7a4c49cef2883b80855a0ecb6371df4063e7ecc40d