29 Aprile 2025 14:06    Alert

Attacchi attivi sfruttano vulnerabilità critiche in Craft CMS e Yii Framework per esecuzione remota di codice

Un'allerta congiunta dell'Agenzia per la Cybersicurezza Nazionale (ACN) e del CSIRT Italia segnala campagne offensive attive che sfruttano una catena di vulnerabilità nei sistemi Craft CMS e Yii Framework. L'attacco combina CVE-2025-32432 (CVSS 10.0), una vulnerabilità di Remote Code Execution (RCE) in Craft CMS, con CVE-2024-58136 (CVSS 9.0), un difetto nel meccanismo di deserializzazione del framework Yii.

La tecnica prevede un attacco a due fasi.

  • Nella prima fase, gli aggressori inviano richieste POST malevole all'endpoint /actions/assets/generate-transform di Craft CMS, sfruttando la mancata validazione degli asset ID nelle versioni 4.x e 5.x per iniettare un file PHP nel filesystem.
  • Nella seconda fase, utilizzano la vulnerabilità di deserializzazione insicura in Yii Framework per eseguire il codice maligno tramite il parametro returnUrl, ottenendo il controllo completo del server.

Le versioni vulnerabili includono Craft CMS 3.0.0-RC1 fino a 5.6.16 e Yii Framework 2.0-2.0.51. Secondo Orange Cyberdefense, almeno 300 server su 13.000 esposti risulterebbero già compromessi. I sistemi infettati presentano tipicamente file anomali come filemanager.php o t.php nelle directory pubbliche, spesso scaricati da repository GitHub controllati dagli attaccanti.

 

Per mitigare il rischio, gli amministratori dovrebbero:

  1. Aggiornare immediatamente a Craft CMS 3.9.15, 4.14.15 o 5.6.17

  2. Applicare la patch Yii 2.0.52

  3. Monitorare i log per richieste POST contenenti il parametro __class

  4. Ruotare le chiavi di sicurezza e credenziali del database

L'ACN segnala che gli attacchi sono in evoluzione, con tentativi di sfruttamento osservati fino al 5 maggio 2025.

La vulnerabilità è stata inserita nel catalogo CISA Known Exploited Vulnerabilities, imponendo l'applicazione di patch entro 21 giorni per le agenzie federali USA.

Analisi di SOC Prime evidenziano l'uso di file manager PHP per l'esfiltrazione dati e l'installazione di cryptominer.

 

Fonti: ACN, The Hacker News, Craft CMS, SOC Prime