脅威アクターが、Craft CMSの新たに公開された2つの重大なセキュリティ欠陥をゼロデイ攻撃で悪用し、サーバーに侵入して不正アクセスを得ていることが観察されています。
この攻撃は、2025年2月14日にOrange Cyberdefense SensePostによって初めて観察され、以下の脆弱性を連鎖させるものです –
- CVE-2024-58136 (CVSSスコア: 9.0) – Craft CMSで使用されているYii PHPフレームワークの不適切な代替パス保護の欠陥で、制限された機能やリソースにアクセスするために悪用される可能性がある(CVE-2024-4990の回帰)
- CVE-2025-32432 (CVSSスコア: 10.0) – Craft CMSのリモートコード実行(RCE)脆弱性(バージョン3.9.15、4.14.15、5.6.17で修正済み)
サイバーセキュリティ会社によると、CVE-2025-32432は、サイト管理者が画像を特定の形式に保つことを可能にする組み込みの画像変換機能に存在します。
“CVE-2025-32432は、認証されていないユーザーが画像変換を担当するエンドポイントにPOSTリクエストを送信でき、そのPOST内のデータがサーバーによって解釈されるという事実に依存しています”と、セキュリティ研究者のNicolas Bourrasは述べています。
“Craft CMSのバージョン3.xでは、変換オブジェクトの作成前にアセットIDがチェックされますが、バージョン4.xおよび5.xでは、アセットIDは後でチェックされます。したがって、すべてのバージョンのCraft CMSでエクスプロイトを機能させるには、脅威アクターが有効なアセットIDを見つける必要があります。”
Craft CMSのコンテキストでのアセットIDは、ドキュメントファイルやメディアが管理される方法を指し、各アセットには一意のIDが付与されます。
このキャンペーンの背後にいる脅威アクターは、有効なアセットIDが見つかるまで複数のPOSTリクエストを実行し、その後、サーバーが脆弱かどうかを判断するためにPythonスクリプトを実行し、脆弱であればGitHubリポジトリからサーバーにPHPファイルをダウンロードします。
“2月10日から11日の間に、脅威アクターはPythonスクリプトを使用してwebサーバーにfilemanager.phpを複数回ダウンロードするテストを行うことでスクリプトを改善しました”と研究者は述べています。”filemanager.phpは2月12日にautoload_classmap.phpに名前が変更され、2月14日に初めて使用されました。”
 |
| 国別の脆弱なCraft CMSインスタンス |
2025年4月18日時点で、推定13,000の脆弱なCraft CMSインスタンスが特定され、そのうち約300が侵害されたとされています。
“ファイアウォールログやwebサーバーログを確認し、actions/assets/generate-transform Craftコントローラーエンドポイントへの不審なPOSTリクエスト、特にボディに__classという文字列が含まれている場合、あなたのサイトはこの脆弱性のスキャンを受けた可能性があります”とCraft CMSはアドバイザリで述べています。”これはあなたのサイトが侵害されたことの確認ではなく、単に調査されたに過ぎません。”
侵害の証拠がある場合、ユーザーはセキュリティキーを更新し、データベースの資格情報を回転させ、ユーザーパスワードを慎重にリセットし、ファイアウォールレベルで悪意のあるリクエストをブロックすることが推奨されます。
この公開は、Active! Mailのゼロデイスタックベースのバッファオーバーフロー脆弱性(CVE-2025-42599, CVSSスコア: 9.8)が、日本の組織を標的としたサイバー攻撃でリモートコード実行を達成するために積極的に悪用されている中で行われました。バージョン6.60.06008562で修正されています。
“リモートの第三者が細工されたリクエストを送信すると、任意のコードを実行したり、サービス拒否(DoS)を引き起こす可能性があります”とQualitiaは発表で述べています。