CVE-2025-32432: 심각한 Craft CMS 취약점 제로데이 공격에서 적극적으로 악용, 원격 코드 실행으로 이어짐

공개 후 Command Center의 CVE-2025-34028 취약점에 대해, 연구원들은 이제 또 다른 중요 위협인 Craft CMS의 최대 심각도 결함(CVE-2025-32432)을 경고하고 있습니다. 공격자들은 이 결함을 Yii 프레임워크(CVE-2025-58136)의 중요한 입력 검증 버그와 연결하여 제로 데이 공격을 강화하고 있으며, 이는 서버 침해 및 데이터 도난으로 이어지고 있습니다. 4월 중순까지 약 13,000개의 Craft CMS 인스턴스가 취약했으며, 최소 300개 이상이 손상된 것으로 보고되었습니다.

널리 사용되는 소프트웨어의 취약점 급증과 실제 공격에서의 빠른 무기화로, 능동적 위협 탐지가 중요합니다. 2025년 상반기 동안 NIST는 15,000개 이상의 취약점을 기록했으며, 많은 것들이 이미 전 세계 SOC 팀의 한계를 시험하고 있습니다. 사이버 위협이 점점 더 정교해짐에 따라 조기 탐지는 공격자를 앞서고 피해를 최소화하는 데 필수적입니다.

SOC Prime 플랫폼에 등록하여 실시간 CTI 및 탐지 내용 큐레이션 피드를 포함한 글로벌 활동 위협 피드에 접근하여 새로운 CVE를 활용한 공격을 제때 감지하고 대응하세요. ‘CVE’ 태그로 필터링된 방대한 Sigma 규칙 라이브러리를 탐색하고, 고급 위협 탐지 및 사냥을 위한 완벽한 제품군으로 지원됩니다. 탐지 사항 탐색 아래에.

탐지 사항 탐색

또한 보안 전문가들은 Uncoder AI – 위협 정보 기반 탐지 엔지니어링을 위한 개인 IDE 및 공동 파일럿 – 를 완전히 무료로 이용할 수 있습니다. 무제한의 AI 기능 사용 가능. 원시 위협 보고서에서 탐지 알고리즘을 생성하고, 성능 최적화된 쿼리로 빠른 IOC 검색을 가능하게 하며, ATT&CK 태그를 예측하고, AI 팁으로 쿼리 코드를 최적화하며, 48개의 SIEM, EDR, Data Lake 언어로 번역하고 더 많은 기능을 제공합니다.

CVE-2025-32432 분석

보안 연구원들은 서버를 침해하고 데이터를 탈취하기 위해 Craft CMS의 두 가지 주요 취약점을 결합한 활동적 착취 캠페인을 발견했습니다. Orange Cyberdefense의 CSIRT에 의해 , CVE-2025-32432와 CVE-2024-58136은 원격 코드 실행과 서버 침해를 가능하게 하는 다단계 착취 방법을 통해 활성 제로데이 공격에 사용됩니다.

이 침입은 2025년 2월 중순에 처음 관찰되었으며, Craft CMS에서의 CVE-2025-32432 RCE 착취로 시작됩니다. 초기에는 내장 이미지 변환 기능의 잘못된 설정으로 인해 웹사이트 관리자가 이미지를 원하는 형식으로 조정할 수 있도록 허용합니다. 이로 인해 인증되지 않은 공격자가 이미지 처리를 담당하는 엔드포인트로 POST 요청을 보내고, POST 내의 데이터가 서버에 의해 해석됩니다. 이 취약점을 악용하여 공격자는 ‘return URL’ 매개변수가 포함된 요청을 조작하여 대상 시스템에 PHP 관리자를 업로드할 수 있습니다. 이 값은 PHP 세션 파일에 저장되며, 그런 다음 서버의 HTTP 응답의 일부로 방문자에게 반환되어 손상된 시스템에 접근점을 설정합니다.

공격의 두 번째 단계에서는, Craft CMS가 사용하는 Yii 프레임워크에서 CVE-2024-58136 취약점을 활용하여 서버의 세션 파일에서 PHP 코드를 실행하는 악성 JSON 페이로드를 보냅니다. 이것은 추가적인 시스템 손상을 위한 PHP 기반 파일 관리자의 설치를 가능하게 합니다.

공격 체인 공개 직후, Yii 개발자들이 CVE-2024-58136 취약점을 Yii 2.0.52 릴리스에서 해결했습니다. Craft CMS 또한 the CVE-2024-58136 vulnerability in the Yii 2.0.52 release. Craft CMS also CVE-2025-32432를 2025년 4월 10일 기준으로 버전 3.9.15, 4.14.15, 5.6.17에서 패치했습니다. CVE-2025-32432 in versions 3.9.15, 4.14.15, and 5.6.17 as of April 10, 2025.

유사 제로데이 및 기타 알려진 CVE의 착취 위험을 최소화하기 위해, SOC Prime 플랫폼은 여러 산업 수직시장 및 다양한 환경의 글로벌 조직들이 SOC 운영을 확장할 수 있도록, AI 및 자동화에 의해 뒷받침되는 독특한 기술의 융합으로 구축된 완전한 제품군을 보안 팀에게 제공합니다. 지금 등록하여 사이버 위협을 능가하고 비즈니스에 대한 잠재적 사이버 공격을 미리 인지하세요.