記事本文(要約)
攻撃者がCraft CMSにおける2つの新たに公開された深刻なセキュリティ脆弱性を悪用し、ゼロデイ攻撃でサーバーに不正アクセスを行う事例が確認されました。
Orange Cyberdefense SensePostによって2025年2月14日に観測されたこれらの攻撃には、次の脆弱性が絡んでいます。
- CVE-2024-58136(CVSSスコア: 9.0): Yii PHPフレームワークの不適切なパス保護により制限された機能やリソースにアクセス可能(CVE-2024-4990のリグレッション)。
- CVE-2025-32432(CVSSスコア: 10.0): Craft CMSのリモートコード実行(RCE)脆弱性。画像変換機能に存在。これがバージョン3.9.15、4.14.15、及び5.6.17で修正。
攻撃者は、複数のPOSTリクエストを行い有効なアセットIDを見つけ、その後Pythonスクリプトを使ってサーバーが脆弱かを確認し、脆弱であればPHPファイルをGitHubからダウンロードします。
2025年4月18日時点で約13,000のCraft CMSインスタンスが脆弱で、そのうち約300が侵害されたとされています。
さらに、Active! Mailのゼロデイ脆弱性(CVE-2025-42599、CVSSスコア: 9.8)が日本国内での攻撃で悪用されており、バージョン6.60.06008562で修正されています。
押収された場合の推奨対策としては、セキュリティキーの更新、データベース認証情報の変更、ユーザーパスワードのリセット、防火壁レベルでの悪意あるリクエストの遮断が含まれます。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 28 Apr 2025 12:43:00 +0530
Original URL: https://thehackernews.com/2025/04/hackers-exploit-critical-craft-cms.html
詳細な技術情報
以下に提供された情報を基に、Craft CMSに関連する脆弱性について詳細に分析します。
CVE番号と脆弱性の概要
- CVE-2024-58136
- CVSSスコア: 9.0
- 脆弱性の仕組み: Yii PHPフレームワークにおける不適切な保護によるもので、制限された機能やリソースにアクセスされる恐れがあります。この脆弱性はCVE-2024-4990に関連するものです。
- CVE-2025-32432
- CVSSスコア: 10.0
- 脆弱性の仕組み: Craft CMSにおけるリモートコード実行(RCE)脆弱性。特定の形式に画像を変換する機能を悪用することで、非認証ユーザーがPOSTリクエストを送信し、サーバーがデータを不適切に解釈します。
攻撃手法
- 攻撃者は有効なアセットIDを見つけるまでPOSTリクエストを繰り返し送信します。これはCraft CMSのドキュメントファイルやメディアが一意のIDで管理されていることによります。
- アセットIDが見つかると、Pythonスクリプトを実行してサーバーが脆弱かどうかを確認し、GitHubからPHPファイルをサーバーにダウンロードします。
潜在的な影響
- サーバーへの不正アクセスを許し、サイトの機密情報が漏洩する可能性があります。
- 攻撃が成功すると、攻撃者は任意のコードを実行でき、サーバー全体の制御を奪われる危険性があります。
推奨される対策
- Craft CMSのアップデート: 脆弱性が修正されたバージョン(3.9.15、4.14.15、5.6.17)にアップデートする。
- ログの監視: ファイアウォールやWebサーバーのログを確認し、
actions/assets/generate-transformエンドポイントへの不審なPOSTリクエストをチェックする。 - セキュリティの強化:
- セキュリティキーの更新
- データベースの資格情報の更新
- パスワードリセット
- ファイアウォールレベルでの悪意あるリクエストのブロック
その他の関連する脆弱性
- CVE-2025-42599 (Active! Mailのゼロデイスタックベースバッファオーバーフロー)
- CVSSスコア: 9.8
- 対応: バージョン6.60.06008562で修正済み
- 影響: 任意のコード実行やサービス拒否(DoS)が発生する可能性
これらの対策を実施し、セキュリティ体制の強化を図ることが重要です。また、組織のインフラストラクチャに対する継続的な監視と評価も欠かせません。
