セキュリティ研究者によると、Wing FTP Serverファイル転送ソリューションの重大な脆弱性に関する技術情報が6月30日に公開された後、ハッカーがこの脆弱性を悪用してリモートで任意のコードを実行していると警告しています。
CVE-2025-47812として追跡されているこの重大な問題は、ヌルバイトの不適切な処理に起因し、攻撃者がユーザーセッションファイルに任意のLuaコードを注入できるため、rootまたはsystem権限で任意のコマンドが実行される可能性があります。
このバグの悪用に成功すると、リモートで任意のコードを実行することでサーバー全体が侵害される可能性があります。認証は必要ですが、脅威アクターはデフォルトで無効化されている匿名FTPアカウントを利用してこの欠陥を悪用することもできます(匿名アカウントはパスワードを必要としません)。
「この脆弱性を悪用する際、ユーザー名に特定の文字列を挿入することで、ログイン時の文字列処理を回避します。この欠陥により、脅威アクターはアプリケーションに任意のLuaコードを注入でき、特定のページにアクセスした際にそのコードが実行されます」とArctic Wolfは説明しています。
CVE-2025-47812はバージョン7.4.3までのWing FTP Serverに影響し、5月14日にリリースされたバージョン7.4.4で修正されました。
しかし6月30日、RCE SecurityのJulien Ahrens氏がこの脆弱性の技術情報とPoC(概念実証)エクスプロイトを公開し、翌日からハッカーによる実際の攻撃が始まったとHuntressは報告しています。
「[Wing FTP]のセッションは通常、ユーザーの現在のディレクトリ、IPアドレス、ユーザー名を保存します。ヌルバイトインジェクションを利用することで、攻撃者はこれらのセッション情報を保存するLuaファイルへの想定外の入力を引き起こします」とセキュリティ企業は指摘しています。
同じくこの脆弱性を標的としたPoCエクスプロイトを作成したHuntressによれば、侵害の兆候(IoC)はWing FTPのインストールフォルダ内の「Domain」ディレクトリのログに見つかる可能性があるとしています。
広告。スクロールして続きを読む。
このセキュリティ企業によれば、7月8日時点で1件の顧客に対する脅威活動が観測されており、攻撃者は任意のファイルの取得・実行、システムのフィンガープリント、リモートアクセス用ツールの展開を試みていました。
Censysによると、インターネットからアクセス可能なWing FTP Serverは約8,103台あり、そのうち5,004台がWebインターフェースを公開しています。CVE-2025-47812のPoCエクスプロイトはPOSTリクエストを利用するため、これらは悪用されるリスクがあります。
関連記事: Grafana、実際に悪用されたゼロデイを含むChromiumのバグを修正
関連記事: CISA、悪用されたTeleMessageの2つの脆弱性について警告
翻訳元: https://www.securityweek.com/critical-wing-ftp-server-vulnerability-exploited/