Die US-amerikanische Cybersicherheitsbehörde CISA hat eine dringende Warnung bezüglich einer kritischen Sicherheitslücke im CentOS Web Panel (CWP) herausgegeben. Die Schwachstelle mit der Kennung CVE-2025-48703 wird bereits aktiv von Angreifern ausgenutzt, um die Kontrolle über betroffene Server zu erlangen.
Systemadministratoren und Hosting-Anbieter, die das beliebte Verwaltungstool einsetzen, sind aufgerufen, umgehend zu handeln und die bereitgestellten Sicherheitsupdates zu installieren.
Wichtige Erkenntnisse
- Die US-Behörde CISA warnt vor einer kritischen Sicherheitslücke (CVE-2025-48703) im CentOS Web Panel.
- Die Schwachstelle wird bereits aktiv für Angriffe ausgenutzt und ermöglicht die Ausführung von beliebigem Code aus der Ferne.
- Betroffen sind alle CWP-Versionen vor 0.9.8.1204. Ein Sicherheitsupdate auf Version 0.9.8.1205 oder neuer ist dringend erforderlich.
- Angreifer benötigen lediglich einen gültigen Benutzernamen, um die Lücke ohne Authentifizierung auszunutzen.
Offizielle Warnung der US-Cybersicherheitsbehörde
Die Cybersecurity and Infrastructure Security Agency (CISA) hat die Sicherheitslücke offiziell in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Dieser Schritt signalisiert eine unmittelbare und reale Bedrohung für Systeme, auf denen die betroffene Software läuft.
US-Bundesbehörden wurden angewiesen, die Schwachstelle bis spätestens zum 25. November zu schließen. Diese Frist unterstreicht die Dringlichkeit der Situation. Obwohl die Anweisung direkt an US-Behörden gerichtet ist, dient sie als starkes Signal für alle Organisationen weltweit, ihre Systeme zu überprüfen und zu schützen.
Was ist das CentOS Web Panel?
Das CentOS Web Panel, oft als CWP abgekürzt, ist ein kostenloses Control Panel für die Verwaltung von Linux-Servern. Es wird häufig von Webhosting-Anbietern, Systemadministratoren und Betreibern von virtuellen oder dedizierten Servern als Alternative zu kommerziellen Produkten wie cPanel oder Plesk verwendet.
Details zur Schwachstelle CVE-2025-48703
Bei der als CVE-2025-48703 klassifizierten Schwachstelle handelt es sich um eine kritische Lücke, die eine Befehlsausführung aus der Ferne (Remote Command Execution) ermöglicht. Das bedeutet, ein Angreifer kann Code auf einem verwundbaren Server ausführen, ohne sich physisch in dessen Nähe zu befinden oder über legitime Zugangsdaten zu verfügen.
Besonders alarmierend ist, dass für einen erfolgreichen Angriff keine Authentifizierung erforderlich ist. Ein Angreifer muss lediglich einen auf dem CWP-System existierenden Benutzernamen kennen. Mit diesem Wissen kann er beliebige Shell-Befehle im Kontext dieses Benutzers ausführen und so potenziell die Kontrolle über den Server übernehmen, Daten stehlen oder Malware installieren.
Betroffene Versionen
Alle Versionen des CentOS Web Panels vor der Version 0.9.8.1204 sind von dieser Sicherheitslücke betroffen. Der Hersteller hat bereits im Juni reagiert und die Lücke in Version 0.9.8.1205 geschlossen.
Wie der Angriff technisch funktioniert
Die Sicherheitslücke wurde ursprünglich vom Sicherheitsforscher Maxime Rinaudo entdeckt und gemeldet. Seine technische Analyse zeigt, dass der Fehler in der Dateiverwaltungsfunktion des CWP liegt.
Ein spezifischer Endpunkt namens „changePerm“, der für die Änderung von Dateiberechtigungen zuständig ist, verarbeitet Anfragen auch dann, wenn keine Benutzer-Sitzung aktiv ist. Dies öffnet die Tür für unbefugte Zugriffe.
Der entscheidende Fehler liegt in einem Parameter namens „t_total“. Dieser Wert wird von der Anwendung direkt und ohne Überprüfung (unsanitized) in einen Shell-Befehl auf dem Server eingefügt. Ein Angreifer kann diesen Parameter manipulieren, um eigene Befehle einzuschleusen. In einem von Rinaudo demonstrierten Angriffsszenario wurde eine speziell gestaltete POST-Anfrage an den Server gesendet, die eine sogenannte „Reverse Shell“ startet und dem Angreifer vollen Zugriff auf das System als der Zielbenutzer gewährt.
Die Ursache der Schwachstelle liegt darin, dass der 'changePerm'-Endpunkt Anfragen auch dann verarbeitet, wenn die benutzerbezogene Kennung fehlt, was unauthentifizierten Anfragen erlaubt, Code zu erreichen, der einen angemeldeten Benutzer erwartet.
Handlungsbedarf für Administratoren und Unternehmen
Für Betreiber von Servern mit CentOS Web Panel besteht unmittelbarer Handlungsbedarf. Die einzige wirksame Schutzmaßnahme ist die sofortige Aktualisierung der Software.
Empfohlene Schritte:
- Systeme identifizieren: Überprüfen Sie alle Server in Ihrer Infrastruktur, um festzustellen, ob das CentOS Web Panel im Einsatz ist.
- Version prüfen: Stellen Sie sicher, welche Version von CWP installiert ist. Liegt die Versionsnummer unter 0.9.8.1204, ist Ihr System verwundbar.
- Update durchführen: Führen Sie umgehend ein Update auf die Version 0.9.8.1205 oder eine neuere Version durch. Der Patch zur Behebung der Lücke wurde bereits am 18. Juni veröffentlicht.
- Systeme überwachen: Überprüfen Sie Ihre Server-Logs auf verdächtige Aktivitäten, insbesondere auf ungewöhnliche POST-Anfragen an den Dateimanager, um mögliche bereits erfolgte Kompromittierungen zu erkennen.
Obwohl die CISA-Warnung sich auf aktive Angriffe konzentriert, hat die Behörde keine spezifischen Details über die Angreifer oder deren Ziele veröffentlicht. Die Tatsache, dass die Lücke jedoch aktiv ausgenutzt wird, erhöht das Risiko für alle ungepatchten Systeme erheblich.
Weitere Warnungen im KEV-Katalog
Gleichzeitig mit der CWP-Schwachstelle hat die CISA eine weitere Lücke in ihren KEV-Katalog aufgenommen. Dabei handelt es sich um CVE-2025-11371, eine „Local File Inclusion“-Schwachstelle in den Produkten Gladinet CentreStack und Triofox. Auch hier wurde eine Frist bis zum 25. November gesetzt.
Diese Vorgehensweise zeigt die wachsende Bedeutung des KEV-Katalogs als Frühwarnsystem für die IT-Sicherheitsgemeinschaft. Er dient als wichtige Ressource für Unternehmen jeder Größe, um ihre Prioritäten bei der Patch-Verwaltung zu setzen und sich auf die Abwehr der realsten und unmittelbarsten Bedrohungen zu konzentrieren.
