centos exploit最新威胁

CentOS 近期被积极利用的漏洞与处置要点

一、已被在野利用的高危漏洞

• CVE-2025-48703｜Control Web Panel（CWP，前称 CentOS Web Panel）未授权远程命令执行

  • 关键点：在已知任意有效非 root 用户名的前提下，攻击者可通过文件管理器 changePerm 端点的 t_total 参数进行命令注入，实现远程代码执行；影响 0.9.8.1204 之前版本，已在 0.9.8.1205 修复；CISA 已将其纳入 KEV 目录并要求联邦机构在 2025-11-25 前完成修补。CWP 常部署于 CentOS/RHEL/AlmaLinux/Rocky 环境，面板默认端口为 2083/2087。建议立即升级，并对 2083/2087 实施来源限制与访问控制。

• CVE-2025-11371｜Gladinet CentreStack/Triofox 本地文件包含导致 RCE 利用链

  • 关键点：默认安装下的 LFI 允许未认证读取敏感文件（如 Web.config），进而提取 machineKey 并配合 ViewState 反序列化实现 RCE；CISA 已将其加入 KEV 目录并通报在野利用。虽然该产品并非 CentOS 专属，但大量 CentOS/RHEL 服务器会托管此类应用，需重点排查并加固。

二、其他需关注的本地提权风险

• CVE-2025-6018/CVE-2025-6019｜本地提权链影响多数 Linux 发行版（含 CentOS 系列）
  • 关键点：组合缺陷涉及 PAM 配置错误 与 libblockdev/udisks2 的滥用，可将“allow_active”会话提升至 root；Qualys 已在 Ubuntu、Debian、Fedora、openSUSE Leap 15 等发行版验证 PoC。缓解建议：尽快打补丁；临时可通过 Polkit 将 org.freedesktop.udisks2.modify-device 调整为需管理员认证（auth_admin）。

三、快速自查与加固清单

• 资产与暴露面
  • 清点是否部署 CWP：检查进程/端口（如 cwpsrv 及 2083/2087），对外网段限制访问，仅允许跳板/管理网段可达。
  • 排查是否托管 Gladinet CentreStack/Triofox：核验版本与补丁状态，避免暴露管理接口到公网。
• 补丁与版本
  • CWP 升级至 ≥ 0.9.8.1205；CentOS/RHEL/Alma/Rocky 使用系统包管理器应用最新安全更新（含内核、sudo、glibc、systemd 等）。
• 临时缓解（无法立即升级时）
  • CWP：临时下线或限制 2083/2087 访问；在边界防火墙/WAF 对 /filemanager?module=filemanager&acc=changePerm 及异常 t_total 参数进行拦截；最小化面板账户与权限。
  • Gladinet：按厂商/安全机构建议禁用或移除危险功能模块（如临时处理程序），并轮换 machineKey、审计 ViewState 使用。
• 检测与响应
  • 重点日志：/var/log/secure、/var/log/messages、CWP 面板日志、Web 访问日志中对 2083/2087 的异常 POST、非常规 t_total 参数、可疑反序列化特征。
  • 主机侧：排查可疑进程、计划任务、反向 shell、异常网络连接与新增用户；对关键系统执行快照与取证留存。

四、优先级建议

• 立即处置：CVE-2025-48703（CWP RCE） 与 CVE-2025-11371（LFI→RCE 链），均已在野利用且危害高。
• 尽快修补：CVE-2025-6018/CVE-2025-6019（本地提权链），降低被入侵主机“从普通用户到 root”的风险。
• 持续加固：最小化暴露面、强认证与网络分段、集中日志审计与主机加固基线常态化。