Huntressによると、最近公開された重大度最大のWing FTP Serverに影響を与えるセキュリティ脆弱性が、実際に悪用されていることが確認されました。
この脆弱性はCVE-2025-47812(CVSSスコア:10.0)として追跡されており、サーバーのWebインターフェースにおけるヌル(’\0’)バイトの不適切な処理が原因で、リモートコード実行が可能になります。この問題はバージョン7.4.4で修正されています。
「ユーザーおよび管理者のWebインターフェースが’\0’バイトを誤って処理し、最終的に任意のLuaコードをユーザーセッションファイルに注入できるようになります」と、CVE.orgのアドバイザリは述べています。「これにより、FTPサービスの権限(デフォルトではrootまたはSYSTEM)で任意のシステムコマンドを実行することが可能になります。」
さらに懸念されるのは、この脆弱性が匿名FTPアカウント経由でも悪用可能である点です。RCE Securityの研究者Julien Ahrensによる詳細な解説が2025年6月末に公開されました。
サイバーセキュリティ企業Huntressは、攻撃者がこの脆弱性を悪用して悪意のあるLuaファイルをダウンロード・実行したり、偵察活動を行ったり、リモート監視・管理ソフトウェアをインストールしたりしているのを観測したと述べています。
「CVE-2025-47812は、ユーザー名パラメータ(特に認証プロセスを処理するloginok.htmlファイルに関連)におけるヌルバイトの処理方法に起因しています」とHuntressの研究者は述べています。「これにより、リモートの攻撃者がユーザー名パラメータにヌルバイトを使用した後、Luaインジェクションを実行できる可能性があります。」
「ヌルバイトインジェクションを利用することで、攻撃者はこれらのセッション特性を保存するLuaファイルへの入力を意図通りでなく混乱させることができます。」
実際の悪用の証拠は、2025年7月1日に単一の顧客に対して最初に観測されました。これはエクスプロイトの詳細が公開されたわずか1日後のことです。アクセスを得た攻撃者は、列挙や偵察コマンドを実行し、永続化のために新しいユーザーを作成し、ScreenConnectのインストーラーをドロップするためのLuaファイルを配置したとされています。
リモートデスクトップソフトウェアが実際にインストールされた証拠はなく、攻撃は進行する前に検知・阻止されました。現時点でこの活動の背後にいる人物は特定されていません。
Censysのデータによると、Wing FTP Serverを稼働させている公開アクセス可能なデバイスは8,103台あり、そのうち5,004台がWebインターフェースを公開しています。これらの大半は、米国、中国、ドイツ、英国、インドに存在しています。
実際の悪用が確認されていることから、ユーザーは速やかに最新のパッチを適用し、Wing FTP Serverをバージョン7.4.4以降にアップデートすることが不可欠です。
翻訳元: https://thehackernews.com/2025/07/critical-wing-ftp-server-vulnerability.html