CISAが警告：CentOS Web Panelの致命的RCE悪用中 - SecureShield セキュリティニュースまとめ

Source:https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-centos-web-panel-bug-exploited-in-attacks/

🛡 概要

米CISAは、CentOS Web Panel（CWP）に存在する重大なリモートコマンド実行（RCE）脆弱性（CVE-2025-48703）が実際に悪用されているとして、Known Exploited Vulnerabilities（KEV）カタログに追加しました。連邦政府機関（BOD 22-01の対象）は、11月25日までにベンダーの修正や緩和策を適用するか、該当製品の使用停止が求められます。あわせて、Gladinet CentreStack/Triofoxのローカルファイルインクルード（LFI）脆弱性（CVE-2025-11371）もKEV入りしています。CWPはホスティング事業者や管理者が広く利用するLinux向けの無料コントロールパネルであり、緊急の対応優先度が高いインシデントです。

🔍 技術詳細

対象：CVE-2025-48703（CWP）／CVSS：未公開。影響範囲はCWP 0.9.8.1204未満とされ、研究者（FenriskのMaxime Rinaudo）がCentOS 7上で実証しています。根本原因は、file-managerのchangePermエンドポイントがユーザー識別子が省略された状態でも処理を進めてしまい、認証済みを前提としたコードに未認証リクエストが到達する点にあります。さらに、chmodのモード値として用いられるパラメータt_totalがサニタイズされないままシェルコマンドに渡されるため、シェルインジェクションが成立します。攻撃者は有効なユーザー名を把握していれば、細工したPOSTリクエストでt_totalにコマンドを注入し、対象ユーザー権限で任意コマンドを実行（例：リバースシェル起動）できます。ベンダーは2024年6月18日に0.9.8.1205で修正を公開しています。

一方、CVE-2025-11371（CentreStack/Triofox）はLFI脆弱性で、Huntressにより10月10日にアクティブ悪用が確認され、4日後に16.10.10408.56683で修正されています（CVSS：未公開）。LFIは任意ファイルの読み取りを許し、設定ファイルやクレデンシャルの露呈から、二次的な侵害（権限昇格・横展開・RCE誘発）に発展するおそれがあります。

⚠ 影響

CWPのRCE成立により、攻撃者は対象ユーザー権限でコマンド実行・ファイル改ざん・ウェブシェル設置・データ窃取・追加マルウェア投下が可能になります。共有ホスティング環境では他顧客への波及やサプライチェーン的な被害も懸念されます。CentreStack/TriofoxのLFIは、機密設定・認証情報・ソースコードの流出を招き、のちの認証回避や持続化の足掛かりとなります。CISAは具体的な攻撃手口や標的は公表していませんが、KEV入りは「実害が出ている」ことを示唆し、早急な是正が不可欠です。

🛠 対策

CWPを0.9.8.1205以上へ即時更新。CentreStack/Triofoxは16.10.10408.56683以上へ更新。ベンダーの緩和策も併用。
管理パネルの外部露出を最小化（VPN/ゼロトラスト経由、IP許可リスト、WAF適用）。不要なfile-manager機能の外部到達を遮断。
アカウント保護：多要素認証、最小権限、使われていないユーザーの停止。既知ユーザー名が前提となるため、推測困難な命名規則や別名の導入も検討。
ログ監査：過去のアクセス・プロセス・ネットワークログを遡及調査。怪しいchmod/シェル起動、外向き高ポート通信、crontab/authorized_keys改変を確認。
侵害時対応：資格情報ローテーション、ウェブルート・テンポラリ配下のウェブシェルスキャン、バックアップの整合性検証、法的報告要件の確認。

📌 SOC視点

Webアクセスログ（Apache/Nginx/CWP）で、changePermへのPOSTとt_totalにバッククォート、$(), ;, |, && 等のメタ文字出現を検出。未認証アクセスからの200/302応答や急増も監視。
プロセス監視（auditd/EDR）：httpd/php-fpm/cwp関連プロセスからのbash/sh/nc/curl/wget等の子プロセス生成、chmodの異常モード、想定外のリバース接続（/dev/tcp など）を検知。
ネットワーク：CWPサーバーから外部IPへのアウトバウンド接続（高番ポート、長時間双方向通信）の新規発生をアラート化。
LFI兆候：パラメータ内の../ シーケンス、/etc/passwd やアプリ設定ファイルへのアクセス成功（200/206）を相関。

📈 MITRE ATT&CK

TA0001 Initial Access / T1190 Exploit Public-Facing Application：公開中のCWP/CentreStackエンドポイントの脆弱性を突いて初期侵入（根拠：未認証RCE/LFI）。
TA0002 Execution / T1059 Command and Scripting Interpreter：t_total経由のシェルインジェクションでbash/shを起動（根拠：chmod引数を介した任意コマンド実行）。
TA0011 Command and Control：リバースシェルで外部と双方向通信を確立（根拠：研究者実証でリバースシェル生成）。
TA0009 Collection / T1005 Data from Local System（LFI）：サーバーローカルファイルの取得（根拠：任意ファイル読み取り）。

🏢 組織規模別助言

小規模（〜50名）：まずはCWP/CentreStackのバージョン確認と即時更新。外部公開を一時遮断→VPN越し運用へ。マネージドWAF/EDRの短期導入を検討。
中規模（50〜500名）：更新に加え、管理プレーン分離（管理用セグメント）、MFA強制、脆弱性管理SLA（KEVは最優先）を明文化。Sigma/SuricataルールをSOCに展開。
大規模（500名以上）：KEV連動の自動優先付け、継続的脆弱性スキャン、攻撃面最小化（ASM）。攻撃シナリオに基づくレッドチーム演習と事後RC／監査を実施。