記事本文(要約)
Craft CMSに影響を与える2つの脆弱性が、ゼロデイ攻撃でサーバーに侵入しデータを盗むためにチェーンされて使用されており、攻撃は現在も継続中です。CERT Orange Cyberdefenseが発見したこれらの脆弱性は、CVE-2025-32432として識別されたCraft CMSにおけるリモートコード実行(RCE)脆弱性と、CVE-2024-58136として識別されたCraft CMSが使用するYiiフレームワークにおける入力検証の欠陥です。攻撃者はこれらの脆弱性を組み合わせて、サーバーにPHPベースのファイルマネージャをアップロードし、システムをさらに危険にさらしました。Yiiの開発者はCVE-2024-58136を修正し、Craft CMSもCVE-2025-32432を修正しましたが、Yii自体は最新バージョンに更新されていません。Craft CMSは、サイトが侵害されたと疑われる場合、セキュリティキーの更新やデータベースの資格情報の回転などを推奨しています。より詳細な攻撃の指標については、SensePostの報告書の付録を参照してください。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 25 Apr 2025 15:44:35 -0400
Original URL: https://www.bleepingcomputer.com/news/security/craft-cms-rce-exploit-chain-used-in-zero-day-attacks-to-steal-data/
詳細な技術情報
以下に示すのは、提示された文章に基づくセキュリティに関する分析です。
CVE番号と脆弱性の仕組み
- CVE-2025-32432:
- 種類: リモートコード実行(RCE)脆弱性
- 影響するソフトウェア: Craft CMS
- 仕組み: 特別に作成されたリクエストを使用して、攻撃者は”return URL”パラメータをPHPセッションファイルに保存し、それがHTTPリクエストの応答の一部として訪問者に送信されます。このRCE脆弱性を利用することで、攻撃者はサーバ上で任意のコードを実行できます。
- CVE-2024-58136:
- 種類: 入力検証の欠陥
- 影響するソフトウェア: Yiiフレームワーク(Craft CMSが使用)
- 仕組み: 攻撃者は悪意のあるJSONペイロードを送信することで、この欠陥を利用し、サーバ上でPHPコードを実行することができます。
攻撃手法
攻撃者はこれら2つの脆弱性を連鎖して利用します。最初に、CVE-2025-32432を悪用してセッションファイルにコードを注入し、その後にCVE-2024-58136を悪用して、そのセッションファイル内のPHPコードを実行します。このプロセスにより、攻撃者はPHPベースのファイルマネージャをサーバにインストールし、さらにシステムを侵害します。
潜在的な影響
- サーバの完全な制御を奪われる可能性
- データの窃取
- バックドアの追加インストール
- データベースの情報漏洩
- ユーザーアカウントの不正アクセス
推奨される対策
- Craft CMSのアップデート:
- Craft CMSを最新版(3.9.15, 4.14.15, 5.6.17)に更新し、RCE脆弱性を解消する。
- Yiiフレームワークのアップデート:
- Yiiフレームワークをバージョン2.0.52以降に更新し、入力検証の欠陥を修正する。
- セキュリティキーの更新:
php craft setup/security-keyコマンドを使用してセキュリティキーを更新し、環境変数に設定する。
- データベース情報のローテーション:
- データベースの資格情報を更新する。
- パスワードリセット:
php craft resave/users --set passwordResetRequired --to "fn() => true"コマンドを使用して、すべてのユーザーにパスワードリセットを実施させる。
- 追加のセキュリティ対策:
- 必要に応じて、他のプライベートキー(例: S3, Stripeなど)も更新する。
- IoC(侵害指標)に基づくログの確認と、攻撃の兆候(IPアドレスやファイル名)の監視を行う。
その他の注意事項
- CISAが指摘した他のCraft CMSにおけるRCE脆弱性(CVE-2025-23209)についても、適宜対応を行うことが望ましいです。
