Одна уязвимость хорошо, а две — путь к файловому менеджеру: новая атака нулевого дня на Craft CMS

Группа реагирования на инциденты CSIRT компании Orange Cyberdefense обнаружила масштабную серию вторжений в серверы, работающие на базе Craft CMS — популярной системы управления контентом для создания и администрирования веб-сайтов. Расследуя компрометацию одной из площадок, специалисты выявили: киберпреступники задействуют комбинацию из двух ранее неизвестных брешей для проникновения в инфраструктуру и кражи конфиденциальных сведений.

Первый изъян в защите, получивший индекс CVE-2025-32432, открывает возможность удаленного выполнения кода. Вторая уязвимость под номером CVE-2024-58136 таится во фреймворке Yii, лежащем в основе Craft CMS — она возникает из-за некорректной валидации входных данных.

Команда этичного хакинга SensePost, входящая в состав Orange Cyberdefense, восстановила полную картину нападения. Авторы взломов последовательно используют обнаруженные баги, чтобы разместить на захваченном сервере специализированный PHP-менеджер для работы с файлами.

Вторжение стартует с эксплуатации CVE-2025-32432: нарушитель формирует особый запрос с параметром "return URL". Переданная информация записывается в PHP-файл сессии, а её идентификатор возвращается пользователю в составе ответа на HTTP-запрос.

На следующем этапе, в котором уже задействована CVE-2024-58136, отправляется вредоносная JSON-нагрузка, активирующая PHP-код из созданного ранее сессионного файла. Такой подход позволяет внедрить файловый менеджер и развить дальнейшее присутствие в инфраструктуре.

Получив контроль над ресурсом, взломщики развертывают дополнительные бэкдоры и организуют каналы для экспорта похищенной информации. Полное описание схемы появится чуть позже в готовящейся публикации компании.

Создатели затронутых компонентов оперативно выпустили патчи. Команда Yii закрыла уязвимость CVE-2024-58136 в версии 2.0.52 от 9 апреля. На следующий день разработчики Craft CMS представили обновления 3.9.15, 4.14.15 и 5.6.17, нейтрализующие CVE-2025-32432.

Несмотря на то, что в Craft CMS по умолчанию сохраняется потенциально опасная версия Yii 2.0.51, аналитики Orange подтверждают: после апдейта выявленная цепочка атак теряет эффективность, поскольку изъян во фреймворке попросту становится недоступным для эксплуатации.

Владельцам потенциально скомпрометированных ресурсов советуют провести комплекс защитных мероприятий. Первоочередная задача — обновление ключа безопасности через команду php craft setup/security-key и последующая синхронизация переменной CRAFT_SECURITY_KEY во всех рабочих окружениях.

Необходима также замена приватных ключей в переменных окружения (используемых сервисами S3, Stripe и другими) и обновление реквизитов доступа к базам данных. В качестве дополнительной меры предлагается инициировать принудительный сброс паролей всех пользователей с помощью команды php craft resave/users --set passwordResetRequired --to "fn() => true".

Исчерпывающий список признаков компрометации, охватывающий сетевые адреса и наименования подозрительных файлов, доступен в приложении к отчету SensePost . Еще в феврале Агентство по кибербезопасности США (CISA) предупреждало об активной эксплуатации другой опасной проблеме в Craft CMS версий 4 и 5 — CVE-2025-23209, позволяющей внедрять вредоносный код. Череда подобных инцидентов указывает на растущий интерес киберпреступников к этой платформе, что требует от администраторов особой бдительности и строгого следования рекомендациям специалистов.