Gli attori delle minacce sono stati osservati sfruttando due difetti di sicurezza critici di recente divulgazione nel CMS artigianale in attacchi a zero giorni per violare i server e ottenere un accesso non autorizzato.
Gli attacchi, prima osservato Di Orange CyberDefense SensePost il 14 febbraio 2025, implica il filo di seguito le vulnerabilità –
- CVE-2024-58136 (Punteggio CVSS: 9.0) – Una protezione impropria del difetto del percorso alternativo nel Yii PHP Framework utilizzato da CM artigianali che potrebbero essere sfruttati per accedere a funzionalità o risorse limitate (una regressione di CVE-2024-4990)
- CVE-2025-32432 (Punteggio CVSS: 10.0) – una vulnerabilità di esecuzione del codice remoto (RCE) in CMS artigianale (patchated nelle versioni 3.9.15, 4.14.15 e 5.6.17)
Secondo la società di sicurezza informatica, CVE-2025-32432 risiede in una funzione di trasformazione delle immagini integrata che consente agli amministratori del sito di mantenere le immagini in un determinato formato.
“CVE-2025-32432 si basa sul fatto che un utente non autenticato potrebbe inviare una richiesta di submit all’endpoint responsabile della trasformazione dell’immagine e i dati all’interno del palo verrebbero interpretati dal server”, ha affermato il ricercatore della sicurezza Nicolas Bourras.
“Nelle versioni 3.x di CMS artigianato, l’ID patrimoniale viene controllato prima della creazione dell’oggetto di trasformazione mentre nelle versioni 4.x e 5.x, l’ID patrimoniale viene controllato dopo. Pertanto, che lo sfruttamento funzioni con ogni versione dei CM artigianali, l’attore di minaccia deve trovare un ID patrimoniale valido.”
L’ID risorsa, nel contesto del CMS artigianale, si riferisce al modo in cui vengono gestiti i file e i media di documenti, con ogni risorsa knowledge un ID univoco.
È stato scoperto che gli attori della minaccia dietro la campagna eseguono più richieste di submit fino a quando non viene scoperto un ID patrimoniale valido, dopo di che viene eseguito uno script Python per determinare se il server è vulnerabile e, in tal caso, scarica un file PHP sul server da un repository GitHub.
“Tra il decimo e l’11 febbraio, l’attore delle minacce ha migliorato i loro script testando il obtain di FileManager.php sul server Internet più volte con uno script Python”, ha affermato il ricercatore. “Il file filemanager.php è stato rinominato Autoload_classmap.php il 12 febbraio ed è stato utilizzato per la prima volta il 14 febbraio.”
 |
|
Istanze CMS artigianali vulnerabili per paese |
A partire dal 18 aprile 2025, sono state identificate circa 13.000 istanze CMS artigianali vulnerabili, di cui quasi 300 sono state compromesse.
“Se controlli i registri del firewall o i registri dei server Internet e trovi richieste di submit sospetti alle azioni/risorse/generate endpoint controller artigianale a trasformata, in particolare con la stringa __class nel corpo, allora il tuo sito è stato almeno scansionato per questa vulnerabilità” disse in un avviso. “Questa non è una conferma che il tuo sito è stato compromesso; è stato solo sondato.”
In caso di show di compromesso, si consiglia agli utenti di aggiornare le chiavi di sicurezza, ruotare le credenziali del database, reimpostare le password dell’utente da un’abbondanza di cautela e bloccare le richieste dannose a livello di firewall.
La divulgazione è attiva! Vulnerabilità per overflow del buffer basato sullo stack zero-day (CVE-2025-42599Punteggio CVSS: 9.8) è stato sottoposto a sfruttamento attivo negli attacchi informatici mirati alle organizzazioni in Giappone per ottenere l’esecuzione del codice remoto. È stato fissato nella versione 6.60.06008562.
“Se una terza parte remota invia una richiesta realizzata, potrebbe essere possibile eseguire un codice arbitrario o causare una negazione del servizio (DOS)”, Qualitia disse in un bollettino.
