158/68 (IT) ประจำวันอังคารที่ 29 เมษายน 2568
ทีม CSIRT ของ Orange Cyberdefense รายงานว่ากลุ่มผู้โจมตีได้ใช้ช่องโหว่จำนวนสองรายการใน Craft CMS เพื่อเจาะระบบเซิร์ฟเวอร์และขโมยข้อมูล โดยช่องโหว่ทั้งสองถูกนำมาโจมตีแบบ active exploitation ซึ่งถูกค้นพบระหว่างการสืบสวนเหตุการณ์ compromise เซิร์ฟเวอร์ของลูกค้ารายหนึ่ง โดยช่องโหว่ที่พบคือ CVE-2025-32432 ซึ่งเป็นช่องโหว่ Remote Code Execution (RCE) ใน Craft CMS และ CVE-2024-58136 ช่องโหว่ input validation ใน Yii framework ที่ Craft CMS ใช้งานอยู่ ตามรายงานจาก SensePost ทีม ethical hacking ของ Orange Cyberdefense ผู้โจมตีใช้ช่องโหว่แรกส่ง crafted request ที่มี “return URL” เพื่อบันทึกในไฟล์ PHP session จากนั้นจึง exploit ช่องโหว่ใน Yii framework โดยส่ง malicious JSON payload ที่ฝังโค้ด PHP เพื่อรันจากไฟล์ session ส่งผลให้สามารถติดตั้ง PHP-based file manager และเข้าควบคุมเซิร์ฟเวอร์ได้
ช่องโหว่ทั้งสองได้รับการ patch แล้ว โดยช่องโหว่ CVE-2025-32432 ถูกแก้ไขใน Craft CMS เวอร์ชัน 3.9.15, 4.14.15 และ 5.6.17 ส่วนช่องโหว่ใน Yii framework ได้รับการแก้ไขใน Yii เวอร์ชัน 2.0.52 เมื่อวันที่ 9 เมษายน 2025 จากการตรวจสอบผ่านฐานข้อมูล Onyphe พบว่า Craft CMS มีการใช้งานอยู่เกือบ 35,000 instance โดยจากการสแกนด้วย nuclei template พบประมาณ 13,000 instance ที่ยังมีช่องโหว่และเชื่อมโยงกับราว 6,300 IP address ซึ่งส่วนใหญ่อยู่ในสหรัฐอเมริกา และพบ instance ที่น่าจะถูก compromise แล้วราว 300 รายการจากไฟล์ที่ผิดปกติ
ทีม CSIRT ของ Orange Cyberdefense ได้เผยแพร่ indicators of compromise (IoCs) สำหรับการโจมตีที่ exploit ช่องโหว่ทั้งสอง เพื่อให้ผู้ดูแลระบบสามารถตรวจสอบและเสริมความปลอดภัยของระบบได้ทันที
