はじめに
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Control Web Panel(CWP)における重大なコマンドインジェクション脆弱性(CVE-2025-48703)について緊急警告を発令しました。この脆弱性は現在、活発に悪用されており、システム管理者に対し、直ちに対応するよう求めています。
Control Web Panelは、以前はCentOS Web Panelとして知られ、Linuxベースのウェブサーバーやホスティング環境の管理に広く利用されているオープンソースのサーバー管理ソリューションです。
脆弱性の詳細と技術的影響
この脆弱性は、Control Web Panelのファイルマネージャーモジュールに存在し、特にchangePermリクエストにおけるt_totalパラメーターの処理方法に起因します。攻撃者はこのパラメーターにシェルメタキャラクターを挿入することで、入力検証を回避し、ウェブパネルプロセスの権限で任意のオペレーティングシステムコマンドを実行できます。
この脆弱性が特に危険なのは、悪用するために認証が不要である点です。これにより、脆弱なシステムにネットワークアクセスできる攻撃者であれば誰でも、サーバーを完全に侵害し、機密データへの不正アクセスを可能にする可能性があります。
この脆弱性は、OSコマンドインジェクションとして知られるCWE-78(オペレーティングシステムコマンドにおける特殊要素の不適切な無効化)に分類されています。CISAの勧告によると、攻撃者はこの脆弱性を悪用するために有効な非ルートユーザー名が必要ですが、これは偵察や情報開示を通じて容易に入手できることが多いため、セキュリティ対策として信頼すべきではありません。
CISAの勧告と対応期限
CISAは、この脆弱性に対し2025年11月25日を必須対応期限として設定しており、組織に3週間の猶予を与えています。CISAは、Control Web Panelを実行しているすべての組織に対し、ベンダーが提供するセキュリティパッチと緩和策を直ちに適用することを推奨しています。
パッチをすぐに適用できない組織に対しては、CISAは脆弱なアプリケーションへのアクセスを制限するためのネットワークレベルの制御を実装するよう助言しています。また、クラウド環境でControl Web Panelを利用している組織は、連邦情報システムおよび請負業者に対する特定のセキュリティプラクティスを義務付けるBOD 22-01の要件に従う必要があります。
緩和策を実装できない、またはパッチを展開できない場合は、パッチが利用可能になるまで製品の使用を完全に中止することを検討すべきです。
システム管理者への推奨事項
- すべてのControl Web Panelインストールにパッチを優先的に適用してください。
- 影響を受けるソフトウェアを実行しているすべてのシステムを特定するために、脆弱性スキャンを実施し、修復作業を追跡するためのインベントリを確立してください。
filemanagerリクエストのt_totalパラメーターを標的とした悪用試行を示す可能性のある不審な活動について、ネットワークトラフィックとサーバーログを監視してください。
この脆弱性が活発に悪用されていることを考慮し、組織は本警告を最優先事項として扱い、インフラ全体にセキュリティパッチを迅速に展開するために必要なリソースを割り当てるべきです。
元記事: https://gbhackers.com/cisa-alerts-of-control-web-panel-command-injection-flaw/