Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) đã phát đi cảnh báo khẩn cấp về một lỗ hổng CVE chèn lệnh nghiêm trọng trong Control Web Panel, hiện đang bị khai thác tích cực trong thực tế. Lỗ hổng CVE này, được định danh là CVE-2025-48703, đặt ra mối đe dọa đáng kể cho các tổ chức sử dụng nền tảng quản lý máy chủ phổ biến này và đòi hỏi sự chú ý tức thì từ các quản trị viên hệ thống trên toàn cầu.

Control Web Panel (CWP), trước đây được biết đến là CentOS Web Panel, là một giải pháp quản lý máy chủ mã nguồn mở được triển khai rộng rãi. Hàng ngàn tổ chức sử dụng CWP để quản trị các máy chủ web dựa trên Linux và môi trường lưu trữ.

Phân tích Kỹ thuật Lỗ hổng CVE-2025-48703: Chèn Lệnh Từ xa trong Control Web Panel

Bản chất của lỗ hổng CVE và Phân loại CWE-78

Lỗ hổng CVE-2025-48703 cho phép kẻ tấn công không cần xác thực thực thi các lệnh hệ điều hành tùy ý từ xa. Điều này có thể dẫn đến việc chiếm quyền kiểm soát máy chủ hoàn toàn và truy cập trái phép vào dữ liệu nhạy cảm.

Lỗ hổng CVE này tồn tại trong mô-đun quản lý tệp (file manager module) của Control Web Panel. Nó đặc biệt ảnh hưởng đến cách ứng dụng xử lý tham số t_total trong các yêu cầu changePerm. Kẻ tấn công có thể chèn các ký tự đặc biệt của shell (shell metacharacters) vào tham số này để vượt qua quá trình kiểm tra đầu vào và thực thi các lệnh tùy ý.

Các lệnh độc hại này sẽ được thực thi với quyền hạn của tiến trình web panel. Lỗ hổng CVE này được phân loại là CWE-78, bao gồm việc vô hiệu hóa không đúng cách các phần tử đặc biệt trong lệnh hệ điều hành, thường được gọi là chèn lệnh hệ điều hành (OS command injection).

Cơ chế Khai thác và Hậu quả Nghiêm trọng

Điểm đặc biệt nguy hiểm của lỗ hổng CVE này là nó không yêu cầu bất kỳ hình thức xác thực nào để khai thác. Điều này có nghĩa là bất kỳ kẻ tấn công nào có quyền truy cập mạng vào hệ thống dễ bị tổn thương đều có thể chiếm quyền kiểm soát.

Theo khuyến nghị từ CISA, để khai thác lỗ hổng CVE này, kẻ tấn công cần một tên người dùng không phải root hợp lệ. Thông tin này thường có thể dễ dàng thu thập được thông qua các hoạt động trinh sát hoặc rò rỉ thông tin. Yêu cầu bổ sung này cung cấp một lớp bảo vệ tối thiểu nhưng không nên được coi là một biện pháp an ninh đáng tin cậy, xét đến mức độ dễ dàng của việc liệt kê tên người dùng trong hầu hết các môi trường Linux.

Việc khai thác thành công loại lỗ hổng CVE này thường dẫn đến việc kiểm soát hệ thống hoàn toàn, cho phép remote code execution và truy cập dữ liệu nhạy cảm. Đây là một trong những vấn đề bảo mật quan trọng nhất đối với các ứng dụng web và công cụ quản lý máy chủ.

Tác động và Nguy cơ từ Cuộc Tấn công Mạng Thực tế

Cảnh báo Khẩn cấp từ CISA và Thời hạn Phản hồi

CISA đã phân loại lỗ hổng CVE này với thời hạn phản hồi bắt buộc là ngày 25 tháng 11 năm 2025. Điều này nhấn mạnh tính cấp bách và rủi ro cao mà lỗ hổng CVE này mang lại. Các tổ chức chỉ có vài tuần để thực hiện các biện pháp bảo vệ.

Các cuộc tấn công mạng đang diễn ra nhằm vào lỗ hổng CVE này đòi hỏi các tổ chức phải coi cảnh báo này là ưu tiên hàng đầu. Việc phân bổ nguồn lực cần thiết để triển khai nhanh chóng các bản vá bảo mật trên toàn bộ cơ sở hạ tầng là tối quan trọng.

Thông tin chi tiết về CVE-2025-48703 có thể được tìm thấy trên trang web của NIST National Vulnerability Database.

Các Hệ thống Bị Ảnh hưởng và Rủi ro Xâm nhập Mạng

Tất cả các tổ chức đang sử dụng Control Web Panel đều có nguy cơ bị ảnh hưởng. Đặc biệt là các môi trường dựa trên Linux được sử dụng để lưu trữ các ứng dụng web và dịch vụ khác. Việc không khắc phục kịp thời có thể dẫn đến xâm nhập mạng trái phép và các hậu quả nghiêm trọng.

Biện pháp Giảm thiểu và Triển khai Bản Vá Bảo Mật Khẩn cấp

Cập nhật Bản Vá Bảo Mật Ngay lập tức

CISA khuyến nghị tất cả các tổ chức đang chạy Control Web Panel phải áp dụng ngay lập tức các bản vá bảo mật và biện pháp giảm thiểu do nhà cung cấp cung cấp. Quản trị viên hệ thống nên ưu tiên vá tất cả các cài đặt Control Web Panel như một phần của quy trình ứng phó sự cố của họ.

Kiểm soát Truy cập Mạng và Giám sát Phát hiện

Đối với các tổ chức không thể vá hệ thống ngay lập tức, CISA khuyên nên triển khai các kiểm soát ở cấp độ mạng để hạn chế quyền truy cập vào ứng dụng dễ bị tổn thương. Điều này bao gồm việc thiết lập các quy tắc tường lửa chặt chẽ.

Các nhóm bảo mật cần theo dõi lưu lượng mạng và nhật ký máy chủ để tìm kiếm hoạt động đáng ngờ. Cần đặc biệt chú ý đến các nỗ lực khai thác nhắm vào tham số t_total trong các yêu cầu của trình quản lý tệp (filemanager requests).

Quy định Bảo mật cho Môi trường Đám mây và Các Lựa chọn Thay thế

Ngoài ra, các tổ chức sử dụng Control Web Panel trong môi trường đám mây nên tuân thủ các yêu cầu được nêu trong BOD 22-01. Quy định này bắt buộc các thực hành bảo mật cụ thể đối với các hệ thống thông tin liên bang và nhà thầu. Chi tiết về Danh mục Lỗ hổng Đã Bị Khai thác của CISA có thể giúp xác định các rủi ro khác.

Những tổ chức không thể thực hiện các biện pháp giảm thiểu hoặc triển khai bản vá bảo mật nên xem xét ngừng sử dụng sản phẩm hoàn toàn cho đến khi có các bản vá. Các tổ chức cũng nên tiến hành quét lỗ hổng để xác định tất cả các hệ thống đang chạy phần mềm bị ảnh hưởng và thiết lập một danh mục để theo dõi các nỗ lực khắc phục.

Lưu ý về IOC

Dựa trên thông tin được cung cấp, không có chỉ số thỏa hiệp (IOC) cụ thể như địa chỉ IP, tên miền hoặc giá trị băm của mã độc được liệt kê. Tuy nhiên, việc giám sát các yêu cầu HTTP/HTTPS liên quan đến mô-đun quản lý tệp của Control Web Panel, đặc biệt là các yêu cầu changePerm với tham số t_total chứa các ký tự đặc biệt của shell, có thể đóng vai trò như một phương pháp phát hiện.