Salı günü CISA, Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna iki güvenlik açığı ekledi: Gladinet’in CentreStack ve Triofox dosya paylaşımı ve uzaktan erişim platformlarını etkileyen CVE-2025-11371 ve CentOS veya CentOS tabanlı dağıtımları çalıştıran sunucuları yönetmek için tasarlanmış bir web barındırma kontrol paneli olan Control Web Panel’deki (CWP) bir güvenlik açığı olan CVE-2025-48703.
CVE-2025-11371’in aktif olarak kullanıldığı Ekim 2025’in başlarından bu yana bildirilse de, CVE-2025-48703’ü içeren istismar girişimleri, siber güvenlik uzmanları tarafından tespit edilmesine rağmen şu ana kadar daha az yaygınlaştı (veya gözlemlendi).
Kontrol Web Paneli (CWP) nedir?
CWP, CentOS (geliştirilmesi 2020 sonlarında durdurulan) ve onun topluluk odaklı halefleri Rocky Linux ve AlmaLinux üzerinde çalışan sunucu yönetimi yazılımıdır.
CWP kullanıcıları, tek sunucu yönetimi için temel özellikler sunan ücretsiz sürümü ve daha iyi güvenlik, otomatik güncellemeler ve gelişmiş desteğe sahip (ücretli) Pro sürümünü tercih edebilir.
Yazılım, sanal özel sunucu (VPS) ve özel sunucu operatörleri arasında popülerdir ve web sunucuları, veritabanları, e-posta sunucuları, DNS gibi hizmetleri ve güvenlik özelliklerini yönetmek için kullanılır.
CVE-2025-48703 Hakkında
CVE-2025-48703, “bir dosya yöneticisi changePerm isteğindeki t_total parametresindeki kabuk meta karakterleri aracılığıyla kimliği doğrulanmamış uzaktan kod yürütülmesine izin veren” kritik bir İşletim Sistemi Komut Ekleme kusurudur.
Güvenlik açığının mevcut CVSS dizesi, önceden kimlik doğrulama veya kullanıcı etkileşimi gerekmeden bir ağ üzerinden uzaktan yararlanılabileceğini, ancak aynı zamanda önemsiz derecede yararlanılabilir olmadığını da gösteriyor.
Penetrasyon testi firması Fenrisk’in kurucu ortağı Maxime Rinaudo, saldırganların CVE-2025-48703’ten yararlanmadan önce kimlik doğrulama gereksinimlerini atlamak için root olmayan geçerli bir kullanıcı adını bilmesi veya tahmin etmesi gerektiğini açıkladı. Kötü haber şu ki, bu tür kullanıcı adları genellikle tahmin edilebilir.
CVE-2025-48703, özel hazırlanmış bir HTTPS isteği gönderilerek tetikleniyor t_toplam kullanıcı dosya yöneticisi uç noktasının değeri (dosya yöneticisi&acc=changePerm) ve saldırganların bu yerel kullanıcı olarak komut çalıştırmasına olanak tanır. Bu nedenle, bir saldırgan yerel yanlış yapılandırmalara bağlı olarak web kabuklarını düşürebilir, kalıcılık oluşturabilir, yön değiştirebilir veya daha da tırmandırabilir.
Ne yapalım?
Rinaudo’nun teknik yazısı ve PoC’nin Haziran 2025’in sonlarında yayınlanması ve diğer PoC açıklarının GitHub’da ortaya çıkmasıyla birlikte, saldırganların bu kusurdan yararlanmaya çalışması an meselesiydi.
Temmuz 2025’te FindSec araştırmacıları, “istismarların aktif olarak geliştirildiğini ve bilgisayar korsanlığı forumlarında paylaşıldığını” belirtti ve CWP çalıştıran kuruluşa Linux tabanlı web barındırma ortamlarını hızlı bir şekilde yama yapmak üzere yönetmesini tavsiye etti.
Shodan’a göre şu anda internete açık 220.000’den fazla CWP örneği var, ancak bunlardan kaçının hala savunmasız bir sürümü çalıştırdığı belirsizliğini koruyor.
CVE-2025-48703, Haziran 2025’te yayımlanan 0.9.8.1205’ten önceki CWP sürümlerini etkiler.
Kullanıcılar şunları yapmalıdır:
- 0.9.8.1205 veya üzeri bir sürüme yükseltin.
- Bağlantı noktası 2083’e (kullanıcı arayüzü) erişimi güvenilir IP’lerle kısıtlayın.
- Beklenmedik ters kabuk bağlantıları, şüpheli durumlar gibi uzlaşma işaretlerini arayın. mod günlüklerdeki yürütmeler, yeni veya değiştirilmiş .bashrc, .sshveya cron girişleri, bilinmeyen IP adreslerine bağlantılar ve bilinmeyen kullanıcı hesapları. Bulunursa, konak izole edilmeli, günlükler korunmalı ve adli soruşturma başlatılmalıdır.
- Kötüye kullanım girişimlerini tespit etmek/engellemek için izinsiz giriş tespit sistemlerini kullanın.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!