في تطور خطير بعالم الأمن السيبراني، رصد خبراء في المجال استغلال قراصنة إلكترونيين لثغرتين أمنيتين بالغتي الخطورة في نظام إدارة المحتوى Craft CMS، مما أدى إلى اختراق العديد من الخوادم والوصول غير المصرح به إلى بياناتها.
تفاصيل الهجمات والثغرات
بحسب شركة Orange Cyberdefense SensePost، بدأت ملاحظة هذه الهجمات منذ 14 فبراير 2025، حيث استغل المهاجمون ثغرتين أمنيتين تم الكشف عنهما حديثاً، هما:
-
CVE-2024-58136 (درجة خطورة CVSS: 9.0): خلل في حماية المسارات البديلة ضمن إطار عمل Yii للغة PHP، المستخدم في Craft CMS، مما يسمح بالوصول إلى وظائف أو موارد محمية.
-
CVE-2025-32432 (درجة خطورة CVSS: 10.0): ثغرة تنفيذ تعليمات برمجية عن بُعد (RCE) في Craft CMS، تم تصحيحها في الإصدارات 3.9.15، 4.14.15، و5.6.17.
وفقًا للباحث الأمني نيكولا بوراس، تستغل ثغرة CVE-2025-32432 ميزة تحويل الصور المدمجة ضمن النظام، والتي تتيح للمسؤولين تحويل الصور إلى تنسيقات معينة، حيث يمكن لمهاجم غير موثق إرسال طلبات POST مصممة بطريقة خاصة لاستغلال الخلل.
في الإصدارات 3.x من Craft CMS، يتم التحقق من “معرف الأصل” (Asset ID) قبل إنشاء كائن التحويل، بينما في الإصدارات 4.x و5.x يتم التحقق بعد الإنشاء، مما يسمح للمهاجم بالعثور على معرف صالح عبر إرسال عدة طلبات بشكل مكثف.
آلية الاستغلال
أظهرت التحقيقات أن القراصنة أطلقوا عدة طلبات POST إلى الخوادم المستهدفة للعثور على معرفات أصول صالحة، وبعد النجاح، قاموا بتنفيذ سكريبت بايثون لتحميل ملف PHP خبيث من مستودع على GitHub. الملف المبدئي كان يدعى filemanager.php، ثم تم إعادة تسميته إلى autoload_classmap.php لاحقًا.
حجم الاختراقات
حتى 18 أبريل 2025، تم تحديد حوالي 13,000 خادم يحتوي على إصدارات عرضة للاختراق من Craft CMS، حيث تم تأكيد اختراق ما يقارب 300 خادم.
وأشارت Craft CMS في بيان تحذيري إلى أنه في حال العثور على طلبات POST مريبة موجهة إلى المسار actions/assets/generate-transform وبوجود الكلمة __class في جسم الرسالة، فهذا يدل على أن الخادم قد تم فحصه على الأقل، حتى لو لم يتم اختراقه بشكل فعلي.
التوصيات الأمنية العاجلة
في حال وجود أدلة على اختراق، توصي Craft CMS المستخدمين بالقيام بالإجراءات التالية:
-
تجديد مفاتيح الأمان (Security Keys).
-
تدوير بيانات اعتماد قواعد البيانات.
-
إعادة تعيين كلمات مرور المستخدمين.
-
حظر الطلبات الخبيثة عبر جدار الحماية.
خلفية إضافية: هجمات موازية
يأتي هذا الكشف بالتزامن مع استغلال نشط لثغرة أخرى في نظام البريد الإلكتروني Active! Mail، وهي ثغرة تدفق مكدس (CVE-2025-42599) تتيح تنفيذ تعليمات برمجية عن بُعد وتؤثر بشكل خاص على المؤسسات اليابانية. تم إصلاحها في الإصدار 6.60.06008562.
