コンテンツにスキップするには Enter キーを押してください

ハッカーがWing FTP Serverの重大なRCE脆弱性を悪用中

投稿日 2025年7月13日

ハッカーがWing FTP Serverの重大なRCE脆弱性を悪用中

ハッカーは、Wing FTP Serverに存在する重大なリモートコード実行(RCE)脆弱性の技術的詳細が公開されてからわずか1日後に、この脆弱性の悪用を開始しました。

観測された攻撃では、複数の列挙および偵察コマンドが実行され、その後、新しいユーザーを作成して永続化を確立していました。

悪用されたWing FTP Serverの脆弱性はCVE-2025-47812として追跡されており、最高の深刻度スコアを受けています。これは、ヌルバイトとLuaコードインジェクションの組み合わせで、リモートの認証されていない攻撃者がシステム上で最高権限(root/SYSTEM)でコードを実行できるようにするものです。

Wing FTP Serverは、Luaスクリプトを実行できる安全なファイル転送管理のための強力なソリューションであり、企業や中小企業の環境で広く使用されています。

6月30日、セキュリティ研究者のJulien Ahrens氏がCVE-2025-47812の技術的解説を公開し、この脆弱性がC++でのヌル終端文字列の安全でない取り扱いと、Luaでの不適切な入力サニタイズに起因することを説明しました。

研究者は、ユーザー名フィールドにヌルバイトを挿入することで認証チェックを回避し、セッションファイルにLuaコードインジェクションが可能になることを実証しました。

これらのファイルがサーバーによって実行されると、root/SYSTEM権限で任意のコード実行が可能となります。

CVE-2025-47812に加えて、研究者はWing FTPに関する他の3つの脆弱性も提示しました:

  • CVE-2025-27889 – ユーザーがログインフォームを送信した場合、細工されたURLによりJavaScript変数(location)にパスワードが安全でなく含まれるため、ユーザーパスワードを流出させる可能性がある
  • CVE-2025-47811 – Wing FTPはデフォルトでroot/SYSTEM権限で動作し、サンドボックス化や権限の降格がないため、RCEがより危険になる
  • CVE-2025-47813 – 長すぎるUIDクッキーを供給することでファイルシステムパスが漏洩する

これらすべての脆弱性はWing FTPバージョン7.4.3以前に影響します。ベンダーは2025年5月14日にバージョン7.4.4をリリースして問題を修正しましたが、CVE-2025-47811のみは重要ではないと判断され修正されていません。

マネージドサイバーセキュリティプラットフォームHuntressの脅威研究者は、CVE-2025-47812の概念実証(PoC)エクスプロイトを作成し、以下の動画でハッカーがどのように攻撃に利用できるかを示しています:

Huntressの研究者は、CVE-2025-47812の技術的詳細が公開された翌日の7月1日に、少なくとも1人の攻撃者が自社顧客の環境でこの脆弱性を悪用したことを発見しました。

攻撃者は、ヌルバイトを注入したユーザー名で不正なログインリクエストを送り、「loginok.html」を標的にしました。これらの入力により、悪意あるセッション用.luaファイルが作成され、サーバーにLuaコードが注入されました。

注入されたコードは、ペイロードを16進デコードし、cmd.exe経由で実行するよう設計されており、certutilを使ってリモートからマルウェアをダウンロードして実行します。

Huntressは述べていますが、同じWing FTPインスタンスが短時間のうちに5つの異なるIPアドレスから標的にされており、複数の脅威アクターによる大規模なスキャンや悪用の試みが示唆されます。

これらの試行で観測されたコマンドは、偵察、環境内での永続化の獲得、cURLツールやWebhookエンドポイントを使ったデータ流出に関するものでした。

Huntressによれば、「攻撃者はそれらに不慣れだったか、Microsoft Defenderが攻撃の一部を阻止したため」攻撃は失敗したとのことです。それにもかかわらず、研究者はWing FTP Serverの重大な脆弱性が明確に悪用されていることを観測しました。

たとえHuntressの顧客環境で攻撃が失敗したとしても、ハッカーは到達可能なWing FTPインスタンスをスキャンし、脆弱なサーバーを悪用しようとする可能性が高いです。

企業はできるだけ早くバージョン7.4.4にアップグレードすることが強く推奨されます。

より新しく安全なバージョンへの切り替えが不可能な場合、研究者の推奨は、Wing FTPのウェブポータルへのHTTP/HTTPSアクセスを無効化または制限し、匿名ログインを無効にし、セッションディレクトリに不審なファイルが追加されていないか監視することです。


Tines Needle

2025年における8つの一般的な脅威

クラウド攻撃が高度化している一方で、攻撃者は驚くほど単純な手法でも依然として成功しています。

Wizが数千の組織で検知したデータをもとに、このレポートではクラウドに精通した脅威アクターが用いる8つの主要な手法を明らかにします。

翻訳元: https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-rce-flaw-in-wing-ftp-server/

Published in bleepingcomputer.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です