Source:https://thehackernews.com/2025/11/cisa-adds-gladinet-and-cwp-flaws-to-kev.html
🛡 概要
米CISAは、Gladinet CentreStack/Triofox(CVE-2025-11371)とControl Web Panel(CWP、CVE-2025-48703)の脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加しました。前者は外部からのファイル/ディレクトリアクセス不備による情報漏えい(CVSS 7.5)、後者はOSコマンドインジェクションに起因するリモートコード実行(RCE)(技術詳細公開済、パッチ済)です。CISAはFCEB機関に対し、2025年11月25日までの是正を義務付けています。併せて、WordPressエコシステムで深刻な3件(CVE-2025-11533、CVE-2025-5397、CVE-2025-11833、各CVSS 9.8)の悪用報告も続いています。早急なパッチ適用と侵害痕跡の確認が必要です。
🔍 技術詳細
・CVE-2025-11371(CVSS 7.5):Gladinet CentreStackおよびTriofoxにおける「外部からアクセス可能なファイル/ディレクトリ」の扱い不備が原因で、システムファイルが意図せず公開されるおそれがあります。実世界では、攻撃者がHTTP経由で特定パスに直接アクセスし、設定ファイルやログなどを取得する可能性があります。Huntressは本件の悪用試行を観測し、Base64エンコードされたペイロードを用いた偵察コマンド(例:ipconfig /all)が実行される形跡を報告しています。Windowsサービスアカウントの権限でコマンドが走る場合、ネットワーク構成や認証情報が露出し、後続侵入の足掛かりになります。
・CVE-2025-48703(CVSS 9.0):CWP(旧CentOS Web Panel)のファイルマネージャ機能におけるOSコマンドインジェクション。パラメータ(例:changePermリクエスト中のt_total)へのシェルメタ文字混入により、認証前段で任意コマンドが実行され得ます。一部説明では「有効なユーザー名の把握」が条件となるケースが言及されていますが、いずれにせよWeb公開面の入力検証不備を起点にRCEへ至る脅威です。研究者Maxime Rinaudoにより2025年6月に技術詳細が公開され、0.9.8.1205で修正されたとされています。現時点で具体的な実攻撃の手口公開は限定的ですが、KEV掲載は悪用の確証があることを意味します。
・CVE-2025-11533(CVSS 9.8):WP Freeioにおける権限昇格。未認証の攻撃者が登録時にロールを指定することで管理者権限を獲得可能。
・CVE-2025-5397(CVSS 9.8):Noo JobMonsterの認証バイパス。ソーシャルログイン有効時、未認証で管理者アカウントにアクセスされ得ます。
・CVE-2025-11833(CVSS 9.8):Post SMTPの認可不備。未認証でメールログ閲覧やユーザーパスワード変更が可能となり、サイト乗っ取りに直結します。
CVSS情報:CVE-2025-11371(7.5)、CVE-2025-48703(9.0)、CVE-2025-11533/5397/11833(各9.8)。いずれもインターネットに公開されたアプリケーション層から初期侵入を許すため、公開範囲と露出資産の管理が防御の要となります。
⚠ 影響
・機密情報の漏えい:設定ファイルやログ、資格情報の露出(Gladinet)。
・サーバ乗っ取りと横展開:Webサービス権限でのRCEから持続化、資格情報窃取、横移動(CWP)。
・Webサイトの完全な権限奪取:管理者権限の不正付与、認証回避、パスワード変更(WordPressプラグイン群)。
・規制/コンプライアンス違反:個人情報/業務データ漏えい、通知義務、罰則リスク。
・業務停止:Web/ファイル共有の中断、ランサム/改ざんによる復旧コスト増加。
🛠 対策
・パッチ適用とバージョン確認:CWPは0.9.8.1205以降へ更新。Gladinet CentreStack/Triofox、WP Freeio、Noo JobMonster、Post SMTPは最新版へ即時更新。
・公開面の最小化:管理パネル/ファイルマネージャのインターネット公開を停止し、VPNやIP許可リストで限定。
・WAF/リバースプロキシ強化:メタ文字(;|&$()`)やBase64コマンド注入、パストラバーサル、異常な登録時ロール指定をブロック。
・権限/アカウント管理:新規登録時のロール固定、不要ロール削除、MFA必須化、既存管理者の棚卸し。
・シークレット刷新:露出可能性のあるAPIキー/パスワードをローテーション。
・ログ/EDR監視:Webサーバからのシェル/PowerShell子プロセス生成、疑わしいHTTPパラメータ、未知の管理者アカウント作成を監視。
・バックアップ/復旧演習:改ざん・暗号化に備えたオフライン/イミュータブルバックアップとリストアテスト。
📌 SOC視点
・Webアクセスログ:/filemanager関連のchangePermリクエスト、t_total等パラメータにメタ文字や長大Base64文字列。Windows系(Gladinet)ではシステムファイル直リンク要求や../を含むパス要求を検出。
・プロセス監視:Windows Event ID 4688/1(新規プロセス)でhttpd/IIS/Node等からcmd.exe/powershell.exe起動。Linuxではauditd execveやSysmon for Linuxでhttpd/php-fpm→/bin/sh→curl/wget/ bashスパンを検知。
・WordPress監査:user_registerフック直後のuser_role変更、wp_usermetaのcapabilitiesにadministrator付与、未知の管理者作成、パスワードリセットメールの大量送信。
・ネットワーク:外向きDNS/HTTPに対する新規C2様のビコン、Base64/gzip混在のPOST、URLエンコードのコマンド断片。
・検知後の初動:影響ノード隔離、資格情報無効化、Webルート/ログのフォレンジック保全、IIS/Apacheモジュールの改ざんチェック。
📈 MITRE ATT&CK
・TA0001 Initial Access | T1190 Exploit Public-Facing Application:公開Webアプリ(Gladinet/CWP/WordPress)経由の初期侵入。
・TA0002 Execution | T1059 Command and Scripting Interpreter(PowerShell/Windows CMD/Unix Shell):CWPのコマンドインジェクション、Gladinet悪用後の偵察実行。
・TA0006 Credential Access | T1552 Unsecured Credentials:設定ファイル/ログ露出からの資格情報窃取(Gladinet)。
・TA0003 Persistence | T1136 Create Account / TA0003 Persistence | T1098 Account Manipulation:WordPressでの新規管理者作成やロール改ざん。
・TA0003/TA0004 Privilege Escalation/Defense Evasion | T1078 Valid Accounts:不正取得/付与された正規アカウントの悪用。
根拠:Web公開面の脆弱性悪用(T1190)を起点に、サーバ上でスクリプト/シェル実行(T1059)、情報漏えいにより資格情報が取得され(T1552)、アカウント作成・権限変更(T1136/T1098)や正規アカウント濫用(T1078)へ連鎖。
🏢 組織規模別助言
・小規模(〜50名):マネージドホスティング/WAFを活用。公開管理パネルはIP制限。自動アップデートとオフラインバックアップを有効化。
・中規模(50〜500名):資産/ソフト在庫の可視化、KEV優先のパッチSLA策定。EDRとWAFの連携ブロック、変更管理下でのプラグイン更新。
・大規模(500名以上):脆弱性管理プラットフォームでKEV駆動のリメディエーション、ブルー/レッド演習でWeb RCEプレイブック検証。ゼロトラストで管理面分離、秘匿情報のセグメント化。
🔎 類似事例
・CVE-2022-44877(CWPのRCE)—広範に悪用された前例。
・CVE-2024-4577(PHP CGI RCE)—Web公開面からのコマンド実行連鎖の参考。
・CVE-2023-22515(Confluence認証回避)—管理面の公開リスクと初期侵入の典型。
🧭 次の一手
・自組織のGladinet/CWP/WordPress公開有無を即時棚卸しし、該当資産にパッチ適用とアクセス制限を実施。
・KEVカタログを監視し、KEV優先度で脆弱性対応ワークフローを整備。
・SOCは本稿の検知項目で24時間遡及検索し、陽性なら隔離・封じ込めへ。
・Web運用チームはプラグインの最小化と脆弱性診断(DAST/SAST)を定常化。
