Группа реагирования на инциденты CSIRT компании Orange Cyberdefense обнаружила масштабную серию вторжений в серверы, работающие на базе Craft CMS — популярной системы управления для создания и администрирования веб-сайтов. Расследуя компрометацию одной из площадок, специалисты выявили: киберпреступники задействуют комбинацию из двух ранее неизвестных брешей для проникновения в инфраструктуру и кражи конфиденциальных сведений. Об этом пишет Securitylab.
Первый изъян в защите, получивший индекс CVE-2025-32432, открывает возможность удаленного выполнения кода. Вторая уязвимость под номером CVE-2024-58136 таится во фреймворке Yii, лежащем в основе Craft CMS — она возникает из-за неправильной проверки входных данных.
Команда этичного взлома SensePost, входящая в состав Orange Cyberdefense, восстановила полную картину нападения. Авторы взломов последовательно используют обнаруженные баги, чтобы разместить на захваченном сервере специализированный PHP-менеджер для работы с файлами.
Вторжение стартует с эксплуатации CVE-2025-32432: нарушитель формирует особый запрос с параметром "return URL". Переданная информация записывается в PHP-файл сессии, а её идентификатор возвращается пользователю в составе ответа на HTTP-запрос.
На следующем этапе, в котором уже задействована CVE-2024-58136, отправляется вредоносная JSON-нагрузка, активирующая PHP-код из созданного ранее сессионного файла. Такой подход позволяет внедрить файловый менеджер и развить дальнейшее присутствие в инфраструктуре.
Получив контроль над ресурсом, взломщики развертывают дополнительные бэкдоры и организуют каналы для экспорта похищенной информации. Полное описание схемы появится чуть позже в готовящейся публикации компании.
Создатели затронутых компонентов оперативно выпустили исправления. Команда Yii закрыла уязвимость CVE-2024-58136 в версии 2.0.52 от 9 апреля. На следующий день разработчики Craft CMS представили обновления 3.9.15, 4.14.15 и 5.6.17, нейтрализующие CVE-2025-32432.
Несмотря на то, что в Craft CMS по умолчанию сохраняется потенциально опасная версия Yii 2.0.51, аналитики Orange подтверждают: после обновления выявленная цепочка атак теряет эффективность, поскольку изъян во фреймворке попросту становится недоступным для эксплуатации.
Владельцам потенциально скомпрометированных ресурсов советуют провести комплекс защитных мероприятий. Первоочередная задача — обновление ключа безопасности через команду php craft setup/security-key и последующая синхронизация переменной CRAFT_SECURITY_KEY во всех рабочих окружениях.
Необходима также замена ключей в переменных окружения (используемых сервисами S3, Stripe и другими) и обновление реквизитов доступа к базам данных. В качестве дополнительной меры предлагается инициировать принудительный сброс паролей всех пользователей с помощью команды php craft resave/users --set passwordResetRequired --to "fn() => true".