01
导语
一场针对全球网站管理员的隐秘攻击正在上演。知名黑客组织"Mimo"近期利用Craft CMS中的高危漏洞(CVE-2025-32432),向数千台服务器同时植入加密货币挖矿程序和流量代理恶意软件(Proxyware),形成"双重吸血"攻击链。
⚡ 漏洞核心:Craft CMS模板注入漏洞
CVE-2025-32432 存在于Craft CMS 5.8.0之前的所有版本中。该漏洞源于后台模板解析模块未对用户输入进行严格过滤,攻击者通过构造恶意模板代码,可实现远程命令执行(RCE)。
复制一下代码: // 简化漏洞触发示意(请勿测试!) POST /admin/actions/templates/render HTTP/1.1 ... {"template": "{{ craft.app.view.evaluateDynamicContent('system('恶意命令')') }}"}
攻击者仅需获得后台基础权限(如弱口令爆破),即可完全接管服务器。
🕵️♂️ Mimo的攻击组合拳
研究人员发现,Mimo组织在入侵后快速部署两类恶意负载:
- 加密货币挖矿程序(Cryptominer)
- 植入门罗币(XMRig)挖矿软件
- 伪装为
systemd-journald等系统进程 - 消耗90%以上CPU资源,导致服务器响应迟缓、电费激增
- 流量代理恶意软件(Proxyware)
- 安装
Peer2Profit或Honeygain等商用代理软件 - 将受害服务器变为代理节点,出售其带宽
- 造成网络拥堵,并可能引发IP被封禁风险
- 安装
📊 双重攻击数据危害(单台服务器/月)
攻击类型 直接经济损失 隐性风险 加密货币挖矿 $150+ 电费 硬件损耗、服务瘫痪 流量代理 带宽成本未知 IP信誉下降、法律风险
🛡️ 紧急防护指南
如果你的网站使用Craft CMS,请立即执行以下操作:
- 升级!升级!升级!
- 立即升级到 Craft CMS 5.8.0 或更高版本
composer update craftcms/cms --with-dependencies
- 立即升级到 Craft CMS 5.8.0 或更高版本
- 漏洞缓解(临时)
- 在
config/general.php中设置:'allowAdminChanges' => false(禁用后台配置更改,阻断攻击入口)
- 在
- 服务器入侵排查
- 检查异常进程:
top,htop,nvidia-smi(GPU服务器) - 排查可疑网络连接:
netstat -antp | grep ESTA - 使用ClamAV扫描:
clamscan -r /var/www/
- 检查异常进程:
- 加固建议
- 强制后台双因素认证(2FA)
- 限制
/admin目录访问IP(通过.htaccess或防火墙) - 部署WAF规则拦截模板注入攻击特征
原文始发于微信公众号(道玄网安驿站):紧急警报!Mimo黑客利用Craft CMS高危漏洞发动双重攻击:挖矿劫持+流量窃取
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论