Trusted Design

解説:

CVE-2025-32432は、Craft CMSに存在する深刻なリモートコード実行（RCE）の脆弱性です。

1. 脆弱性の概要

1.1 影響

認証されていない攻撃者がCraft CMS上で任意のコードを実行することを可能にする脆弱性です。これにより、システムが完全に侵害され、データの窃取や改ざん、ウェブシェルやPHPファイルマネージャーの設置、さらには暗号通貨マイナーやプロキシソフトウェアの展開などが行われる可能性があります。

1.2 深刻度

CVSSスコアは最大値の10.0であり、「Critical（緊急）」に分類される非常に深刻な脆弱性です。 この脆弱性は、影響度が高く、攻撃の複雑度が低いという特徴があります。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は特定のOSバージョンに直接影響するものではなく、PHPアプリケーションであるCraft CMSに存在します。Craft CMSはLinuxおよびPHP環境上で動作します。

2.2 影響を受ける設定

以下のCraft CMSのバージョンが影響を受けます。 * Craft CMS 3.0.0-RC1から3.9.15未満のバージョン * Craft CMS 4.0.0-RC1から4.14.15未満のバージョン * Craft CMS 5.0.0-RC1から5.6.17未満のバージョン

この脆弱性は、Craft CMSの「asset transform generation」機能における安全でないデシリアライゼーションに起因します。 特に、組み込みの画像変換機能の誤設定を悪用するものです。 この脆弱性は、Yiiフレームワークの入力検証の不備（CVE-2024-58136）と組み合わせて悪用されることが多いと報告されています。

3. 影響を受けた時の兆候

システムが侵害された場合の兆候には、以下のようなものが挙げられます。 * ウェブシェルやPHPファイルマネージャーのインストール。 * カスタムテキストフィールドからのphpinfo()やsystem()などのPHP関数の実行。 * 暗号通貨マイナー（例: XMRig）やプロキシソフトウェア（例: IPROyal）の展開。 * システム偵察や競合するマルウェアの排除。 * /index.php?p=admin/actions/assets/generate-transformエンドポイントへの悪意のあるPOSTリクエストのログ。 * 注入されたコードを含む異常なPHPセッションファイルの存在。

4. 推奨対策

4.1 本対策

• Craft CMSのアップグレード: 脆弱性が修正された以下のバージョンに速やかにアップグレードしてください。
  • Craft CMS 3.9.15
  • Craft CMS 4.14.15
  • Craft CMS 5.6.17
• Yiiフレームワークの更新: 関連するYiiフレームワークの脆弱性（CVE-2024-58136）に対処するため、Yii 2.0.52に更新してください。

4.2 暫定回避策（緩和策）

• CRAFT_SECURITY_KEYの更新: php craft setup/security-keyコマンドを実行してセキュリティキーを刷新してください。
• 秘密鍵とデータベース認証情報のローテーション: すべての秘密鍵とデータベース認証情報を変更してください。
• 全ユーザーのパスワードリセット: php craft resave/users --set passwordResetRequired --to "fn() => true"コマンドを実行して、全ユーザーにパスワードのリセットを強制してください。
• ファイアウォールでのブロック: /index.php?p=admin/actions/assets/generate-transformエンドポイントへのPOSTリクエストのうち、__classという文字列を含む不審なリクエストをファイアウォールレベルでブロックすることを検討してください。
• 厳格なアクセス制御と監視: システムバイナリやアウトバウンド接続に対する厳格な制御を実装し、継続的にログを監視して不審な活動を検出してください。
• 軽減策が利用できない場合は、製品の使用を中止することも推奨されています。

他に解説すべき観点

• 発見と悪用状況: この脆弱性はOrange Cyberdefense CSIRTによって2025年2月中旬に発見されました。 公開された時点で既にゼロデイ攻撃で積極的に悪用されており、米CISA（サイバーセキュリティ・インフラセキュリティ庁）の「既知の悪用された脆弱性カタログ（KEV）」にも追加されています。
• 攻撃手法: 攻撃は、/index.php?p=admin/actions/assets/generate-transformエンドポイントを悪用し、安全でないデシリアライゼーションを通じて行われます。 脆弱性をトリガーするには有効なアセットIDが必要とされます。
• 攻撃者: 「Mimo」または「Hezb」と呼ばれる脅威アクターグループが、この脆弱性を悪用して暗号通貨マイニングやプロキシソフトウェアの展開を行っていることが確認されています。
• PoCの公開: 脆弱性の概念実証（PoC）コードやMetasploitモジュールが公開されており、攻撃の敷居が低くなっています。

---

参照したサイト: * CVE-2025-32432 Detail - NVD * CVE-2025-32432: Critical Craft CMS Vulnerability Is Actively Exploited in Zero-Day Attacks, Leads to Remote Code Execution | SOC Prime * CraftCMS Vulnerability Exposes Systems to Pre-Auth RCE, Now Exploited in the Wild (CVE-2025-32432) - SonicWall * May 6 Advisory: Critical RCE Vulnerability Identified in Craft CMS [CVE-2025-32432] * Craft CMS Image Transform Preauth RCE (CVE-2025-32432) - Rapid7 * 「CraftCMS」の脆弱性（CVE-2025-32432）を狙った攻撃 新たに観測 ～ 2025 年 6 月 MBSD-SOC 検知傾向 | ScanNetSecurity * ファントムクラスCraft CMS における CVE-2025-32432 (Yii2 コンテナインジェクション) の武器化 * CVE-2025-32432｜Craft CMS反序列化代码执行漏洞（POC） - 腾讯云 * CVE-2025-32432: 重大なCraft CMSの脆弱性がゼロデイ攻撃で積極的に悪用され - SOC Prime * Craft CMS CVE-2025-32432漏洞分析与修复指南_文心快码 - Comate * Known Exploited Vulnerabilities Catalog - CISA * CVE-2025-32432: Craft CMS Remote Code Execution Flaw - SentinelOne * Craft CMS 零日漏洞CVE-2025-32432 现可通过公开Metasploit 模块利用 - 51CTO * Craft CMS and CVE-2025-32432 * May 2025 - IoT OT Security News * December 2024 - IoT OT Security News * CVE-2025-32432：Craft CMS远程代码执行漏洞解析 - OPSWAT * Mimo 回归： CVE-2025-32432 在加密挖掘和代理软件活动中被利用 - 安全客 * CVE-2025-32432 - CVE Record * Goby热点漏洞更新—2025年4月27日Craft CMS /index.php コード実行の脆弱性（CVE-2025-32432） * CraftCMS CVE-2025-32432 Exploit By Chirag Artani - GitHub * 2025年5月版 最速！危険度の高い脆弱性をいち早く解説「脆弱性研究所」第34回 * CSV版のダウンロード - 既知の悪用された脆弱性カタログ（日本語版） * Craft CMS远程代码执行漏洞(CVE-2025-32432)技术分析与利用指南原创 - CSDNブログ * CraftCMS CVE-2025-32432 漏洞利用工具集 - GitHub * 攻撃確認済み脆弱性をCISAが警鐘 - 「Craft CMS」など5件 - Security NEXT