Кампания с использованием RCE в CraftCMS

security

В середине февраля 2025 года команда Orange Cyberdefense исследовала взлом сервера с CraftCMS (версия 4.12.8), где злоумышленник использовал две уязвимости — CVE-2024-58136 и CVE-2025-32432.

Описание

Взлом через CVE-2025-32432

  • Атакующий нашел валидный assetId, отправив множество POST-запросов к /admin/actions/assets/generate-transform.
  • Уязвимость позволяла выполнить произвольный PHP-код через десериализацию в Yii Framework.
  • Злоумышленник загрузил файловый менеджер (filemanager.php) и переименовал его в autoload_classmap.php.

Технические детали уязвимости

  • Уязвимость связана с неправильной проверкой assetId в CraftCMS 4.x/5.x.
  • Атакующий внедрял вредоносный JSON, используя __class для вызова GuzzleHttp\Psr7\FnStream и выполнения кода (например: phpinfo).
  • Для RCE использовался yii\rbac\PhpManager, загружающий PHP-код из сессионного файла.

Масштаб проблемы

  • Сканирование показало 13 000 уязвимых серверов, из которых 300 уже скомпрометированы.
  • Большинство уязвимых систем находятся в США.

Рекомендации по защите:

  • Обновить CraftCMS до последней версии.
  • Проверить логи на POST-запросы к /generate-transform.
  • Мониторить появление файлов filemanager.php или autoload_classmap.php.

Индикаторы компрометации

IPv4

  • 103.106.66.123
  • 172.86.113.137
  • 104.161.32.11
  • 154.211.22.213
  • 38.145.208.231

MD5

  • d8fddbd85e6af76c91bfa17118dbecc6

SHA1

  • e6c3e12f6712719f69f40fb6f06e2b60facd8e61

SHA256

  • dce988346f98d55b97f7ca7a4c49cef2883b80855a0ecb6371df4063e7ecc40d
Комментарии: 0