米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は1月17日(米国時間)、「CISA Adds One Known Exploited Vulnerability to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」にCWPの脆弱性を追加したと伝えた。この脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されており注意が必要。

  • CISA Adds One Known Exploited Vulnerability to Catalog|CISA

    CISA Adds One Known Exploited Vulnerability to Catalog|CISA

影響を受ける主な製品やサービスは次のとおり。

脆弱性の主な内容は次のとおり。

CVE番号 脆弱性内容
CVE-2022-44877 CWP Control Web Panel (CentOS Web Panel)におけるOSコマンドインジェクションの脆弱性。リモートからログインパラメータ内のシェルメタ文字を介したコマンド実行が可能

Linux管理ツールとして人気のあるCWP (Control Web PanelまたはCentOS Web Panelとしても知られている)に、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)スコア値で9.8の脆弱性が存在することは2022年10月には明らかになっており、すでに修正版が公開されている。しかし、2023年1月に入ってからこの脆弱性を悪用したサイバー攻撃が確認されるようになっていた(参考「Linux管理で人気のツール「CWP」の脆弱性悪用を確認、ただちにアップデートを | TECH+(テックプラス)」)。

今回、CISAもこの脆弱性がアクティブに悪用されているとして情報をカタログに追加した。該当する製品を使っている場合は、提供されているCVE情報やベンダーが提供する情報を確認するとともに、迅速にアップデートを適用することが望まれる。