La vulnérabilité critique Control Web Panel (CVE-2025-48703) fait l'objet d'exploitations actives

Hippolyte Valdegré

La vulnérabilité critique Control Web Panel (CVE-2025-48703) fait l’objet d’exploitations actives

Le 5 novembre 2025, l’agence de cybersécurité américaine CISA a ajouté deux vulnérabilités à son catalogue de vulnérabilités exploitées connues, dont CVE-2025-48703, une faille critique dans Control Web Panel (CWP). Cette vulnérabilité de type injection de commande système permet l’exécution de code à distance sans authentification, représentant une menace majeure pour les environnements d’hébergement web basés sur CentOS et ses dérivés. Plus de 220 000 instances de CWP sont exposées sur Internet, créant une surface d’attaque considérable pour les acteurs malveillants.

Qu’est-ce que Control Web Panel (CWP) ?

Control Web Panel (CWP) est un logiciel de gestion de serveur conçu spécifiquement pour les systèmes d’exploitation CentOS et ses distributions basées comme Rocky Linux et AlmaLinux. Développé après l’arrêt du support de CentOS fin 2020, CWP offre une interface conviviale pour administrer des serveurs privés virtuels (VPS) et des serveurs dédiés.

La solution se décline en deux versions :

  • Version gratuite : propose des fonctionnalités de base pour la gestion de serveur unique
  • Version Pro (payante) : inclut des améliorations en matière de sécurité, des mises à jour automatiques et un support technique amélioré

Les utilisateurs de CWP peuvent gérer divers services via cette interface, notamment :

  • Serveurs web
  • Bases de données
  • Serveurs de messagerie
  • Services DNS
  • Fonctionnalités de sécurité

Selon les estimations de Shodan, plus de 220 000 instances de CWP sont directement accessibles depuis Internet, ce qui représente un enjeu significatif en termes de sécurité lorsque des vulnérabilités critiques sont identifiées.

Description technique de CVE-2025-48703

CVE-2025-48703 est une faille critique d’injection de commande système (OS Command Injection) avec un score CVSS indiquant qu’elle est exploitable à distance sur un réseau, sans nécessiter d’authentification préalable ni d’interaction utilisateur. Toutefois, son exploitation n’est pas trivialement réalisable.

La faille se situe dans le paramètre t_total d’une requête filemanager changePerm. Lorsqu’un attaquant envoie une requête HTTPS avec une valeur spécialement conçue pour ce paramètre vers le point de terminaison du gestionnaire de fichiers, il peut exécuter des commandes système en tant qu’utilisateur local non privilégié.

Maxime Rinaudo, co-fondateur du cabinet de tests d’intrusion Fenrisk, explique que : “Les attaquants doivent connaître ou deviner un nom d’utilisateur valide non-root pour contourner les exigences d’authentification avant d’exploiter CVE-2025-48703. La mauvaise nouvelle est que de tels noms d’utilisateur sont souvent prévisibles.”

Le vecteur d’attaque précis implique l’envoi d’une requête HTTPS vers le point de terminaison filemanager&acc=changePerm avec une valeur manipulée dans le paramètre t_total, contenant des métacaractères d’interpréteur de commandes (shell metacharacters).

Mécanismes d’exploitation et risques associés

Une fois la vulnérabilité exploitée, un attaquant peut :

  1. Déposer des web shells pour maintenir un accès persistant au serveur
  2. Créer des mécanismes de persistance pour survivre aux redémarrages du système
  3. Effectuer du pivoting pour compromettre d’autres systèmes du réseau
  4. Escalader les privilèges en fonction des configurations locales et des erreurs de configuration

L’exploitation de cette vulnérabilité peut conduire à une prise de contrôle complète du serveur, compromettant ainsi tous les services hébergés, y compris les sites web, les bases de données et les applications.

Dans la pratique, les chercheurs en sécurité ont observé que des preuves de concept (PoC) ont été publiées depuis fin juin 2025, notamment par l’équipe de Fenrisk. D’autres PoC ont ensuite fait leur apparition sur GitHub, signalant que des exploits étaient activement développés et partagés dans forums pirates, comme l’ont noté les chercheurs de FindSec en juillet 2025.

L’étendue du problème : plus de 220 000 instances potentiellement concernées

Selon les données de la plateforme de recherche de Shodan, plus de 220 000 instances de Control Web Panel sont directement exposées sur Internet. Ce chiffre alarmant illustre l’ampleur potentielle de ce problème de sécurité.

La vulnérabilité dans l’écosystème web hosting français

En France, de nombreux hébergeurs et prestataires de services d’hébergement web utilisent CWP pour gérer leurs infrastructures. La popularité de la solution s’explique par :

  • Son interface conviviale pour la gestion des serveurs
  • Son support des distributions CentOS-based encore largement utilisées
  • Son coût attractif, notamment pour la version gratuite

Cependant, cette popularité crée un risque systémique lorsque des vulnérabilités critiques comme CVE-2025-48703 sont découvertes. Les attaques ciblées contre les infrastructures d’hébergement français se sont multipliées ces derniers mois, avec une augmentation notable des campagnes d’exploitation de vulnérabilités zero-day.

Cas d’exploitation observés sur le terrain

Bien que l’exploitation de CVE-2025-48703 soit moins répandue que celle d’autres vulnérabilités récentes, plusieurs cas ont été documentés par les équipes de sécurité :

  • Attaques automatisées : des scripts cherchant activement des serveurs vulnérables et exploitant la faille
  • Campagnes ciblées : des attaques organisées contre des hébergeurs spécifiques
  • Exploitation secondaire : une fois le serveur compromis, les attaquants l’utilisent comme plateforme pour d’autres activités malveillantes

Dans un cas concret observé par une équipe de sécurité française, un attaquant a exploité CVE-2025-48703 pour déployer un cryptominer sur un serveur hébergeant plusieurs sites web e-commerce. L’attaque a été détectée après que les clients ont signalé des lenteurs anormales de leurs sites. L’analyse des logs a révélé des exécutions suspectes de la commande chmod et des connexions à des adresses IP inhabituelles.

Recommandations de sécurité pour les administrateurs système

Face à cette menace active, les administrateurs systèmes utilisant Control Web Panel doivent prendre des mesures immédiates pour protéger leurs infrastructures.

Mise à jour immédiate et bonnes pratiques

La mesure la plus cruciale consiste à mettre à jour CWP vers la version 0.9.8.1205 ou ultérieure, qui corrige cette vulnérabilité. Les administrateurs doivent :

  1. Vérifier leur version actuelle de CWP
  2. Télécharger et installer la dernière version depuis le site officiel
  3. Appliquer toutes les mises à jour de sécurité disponibles
  4. Redémarrer les services pertinents après la mise à jour

Outre la mise à jour, plusieurs bonnes pratiques de sécurité peuvent aider à atténuer les risques :

  • Restreindre l’accès au port 2083 (interface utilisateur) aux adresses IP de confiance uniquement
  • Utiliser des pare-feu pour bloquer les accès non autorisés
  • Surveiller les journaux d’accès aux fichiers du gestionnaire
  • Implémenter des listes d’adresses IP blanches pour l’accès à l’interface d’administration
  • Désactiver les services inutiles pour réduire la surface d’attaque

Détection des signes de compromission

Même après avoir appliqué la mise à jour, il est crucial de vérifier si des compromissions antérieures ont eu lieu. Les administrateurs doivent rechercher les signes suivants :

Signes d’activité malveillante potentielle :

  • Connexions de shell invers (reverse shell) inattendues
  • Exécutions suspectes de la commande chmod dans les journaux
  • Nouvelles entrées ou modifications dans les fichiers .bashrc, .ssh ou les cron jobs
  • Connexions à des adresses IP inhabituelles
  • Comptes utilisateurs inconnus
  • Processsus suspects consommant des ressources système anormalement

Un administrateur système récemment confronté à cette vulnérabilité a partagé son expérience : “Nous avons détecté l’exploitation via des alertes de notre système de détection d’intrusion (IDS). Les journaux montraient des tentatives d’exécution de commandes avec des métacaractères d’interpréteur. Heureusement, nous avions déjà appliqué la mise à jour, mais nous avons quand même mené une enquête approfondie pour nous assurer qu’aucun accès persistant n’avait été établi.”

Stratégies de mitigation à court et long terme

À court terme :

  1. Isoler les serveurs suspects immédiatement
  2. Sauvegarder les journaux pour analyse forensique
  3. Désactiver les comptes utilisateurs non nécessaires
  4. Changer tous les mots de passe sensibles
  5. Surveiller l’activité réseau à la recherche de trafic suspect

À long terme :

  1. Mettre en place un programme de gestion des vulnérabilités
  2. Automatiser les mises à jour de sécurité
  3. Implémenter un système de détection d’intrusion adapté aux environnements web hosting
  4. Former les administrateurs aux dernières menaces et bonnes pratiques
  5. Établir un plan de réponse aux incidents documenté et testé

Le Centre de la sécurité des systèmes d’information français (ANSSI) recommande vivement aux organisations gérant des environnements d’hébergement web de prendre ces menaces au sérieux et d’adopter une approche proactive de la sécurité.

Leçons apprises et perspectives futures

L’importance de la veille vulnerability

CVE-2025-48703 illustre l’importance cruciale de la veille en matière de vulnérabilités pour les administrateurs systèmes. Dans un paysage de menaces en constante évolution, il est essentiel de :

  • Suivre les bulletins de sécurité des éditeurs de logiciels
  • S’abonner aux alertes des agences gouvernementales de cybersécurité
  • Participer aux communautés de sécurité professionnelle
  • Implémenter des processus de gestion des vulnérabilités dans son organisation

La norme ISO 27001, référence mondiale en matière de gestion de la sécurité de l’information, exige explicitement que les organisations identifient, évaluent et gèrent les vulnérabilités de leurs systèmes d’information. La gestion efficace de CVE-2025-48703 en est une parfaite illustration.

Renforcer la sécurité des environnements web hosting

Cette vulnérabilité souligne plusieurs points critiques pour renforcer la sécurité des environnements d’hébergement web :

  1. La nécessité de réduire la surface d’attaque en minimisant les services exposés
  2. L’importance de l’authentification forte pour les interfaces d’administration
  3. La valeur des couches de défense multiples (pare-feu, IDS, système de détection d’intrusion)
  4. L’urgence de maintenir les systèmes à jour face aux nouvelles menaces
  5. Le rôle crucial de la surveillance et de la réponse aux incidents

Pour les hébergeurs web, ces leçons doivent alimenter une stratégie de sécurité globale qui intègre non seulement la protection des systèmes, mais aussi la sensibilisation des clients et la communication proactive sur les risques.

Conclusion et prochaines actions

La vulnérabilité Control Web Panel (CVE-2025-48703) représente une menace sérieuse pour les milliers d’administrateurs systèmes et d’hébergeurs web qui utilisent cette solution. Avec plus de 220 000 instances exposées sur Internet et une exploitation déjà observée, l’urgence d’agir est manifeste.

Les administrateurs doivent mettre à jour leur système vers la version 0.9.8.1205 ou ultérieure de CWP, restreindre l’accès à l’interface utilisateur et surveiller attentivement les signes de compromission. Ces mesures immédiates doivent s’inscrire dans une approche plus globale de la sécurité des environnements d’hébergement web.

Dans un contexte où les menaces évoluent constamment, la gestion proactive de la sécurité n’est plus une option mais une nécessité. La vulnérabilité Control Web Panel nous rappelle que dans le domaine de la cybersécurité, la préparation et la réactivité sont les meilleures défenses contre les acteurs malveillants.