Gli attori delle minacce hanno iniziato a sfruttare due nuove vulnerabilità critiche di sicurezza in Craft CMS, recentemente divulgate, per attacchi zero-day volti a violare i server e ottenere accessi non autorizzati. Questi attacchi, osservati per la prima volta da Orange Cyberdefense SensePost il 14 febbraio 2025, coinvolgono la concatenazione delle seguenti vulnerabilità:
Vulnerabilità critiche in Craft CMS
CVE-2024-58136 (punteggio CVSS: 9.0) – Un difetto di protezione impropria del percorso alternativo nel framework PHP Yii utilizzato da Craft CMS, che potrebbe essere sfruttato per accedere a funzionalità o risorse riservate (una regressione di CVE-2024-4990).
CVE-2025-32432 (punteggio CVSS: 10.0) – Una vulnerabilità di esecuzione di codice remoto (RCE) in Craft CMS, corretta nelle versioni 3.9.15, 4.14.15 e 5.6.17. Secondo l’azienda di cybersecurity, CVE-2025-32432 risiede in una funzione di trasformazione delle immagini integrata che consente agli amministratori del sito di mantenere le immagini in un determinato formato.
Dettagli dell’attacco
“CVE-2025-32432 si basa sul fatto che un utente non autenticato potrebbe inviare una richiesta POST all’endpoint responsabile della trasformazione delle immagini e i dati all’interno del POST verrebbero interpretati dal server,” ha affermato il ricercatore di sicurezza Nicolas Bourras. “Nelle versioni 3.x di Craft CMS, l’ID dell’asset viene verificato prima della creazione dell’oggetto di trasformazione, mentre nelle versioni 4.x e 5.x, l’ID dell’asset viene verificato dopo. Pertanto, affinché l’exploit funzioni con ogni versione di Craft CMS, l’attore della minaccia deve trovare un ID asset valido.”
L’ID asset, nel contesto di Craft CMS, si riferisce al modo in cui i file di documenti e media vengono gestiti, con ogni asset a cui viene assegnato un ID univoco. Gli attori delle minacce dietro la campagna sono stati trovati a eseguire più richieste POST fino a quando non viene scoperto un ID asset valido, dopodiché viene eseguito uno script Python per determinare se il server è vulnerabile e, in tal caso, scaricare un file PHP sul server da un repository GitHub.
Evoluzione degli attacchi
“Tra il 10 e l’11 febbraio, l’attore della minaccia ha migliorato i propri script testando il download di filemanager.php sul server web più volte con uno script Python,” ha detto il ricercatore. “Il file filemanager.php è stato rinominato in autoload_classmap.php il 12 febbraio ed è stato utilizzato per la prima volta il 14 febbraio.”
Istanza di Craft CMS vulnerabili per paese
Al 18 aprile 2025, sono state identificate circa 13.000 istanze vulnerabili di Craft CMS, di cui quasi 300 sarebbero state compromesse. “Se controlli i log del tuo firewall o i log del server web e trovi richieste POST sospette all’endpoint del controller Craft actions/assets/generate-transform, specificamente con la stringa __class nel corpo, allora il tuo sito è stato almeno scansionato per questa vulnerabilità,” ha affermato Craft CMS in un avviso. “Questo non è una conferma che il tuo sito sia stato compromesso; è stato solo sondato.”
Consigli per la sicurezza
Se ci sono prove di compromissione, si consiglia agli utenti di aggiornare le chiavi di sicurezza, ruotare le credenziali del database, reimpostare le password degli utenti per precauzione e bloccare le richieste dannose a livello di firewall.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!