- CISAがWing FTPサーバーのバグ(CVE-2025-47813)をKEVカタログに追加
- 中程度の深刻度の欠陥がサーバーパスを漏らし、チェーン攻撃で悪用されている
- 連邦機関は3月30日までのパッチ適用または使用中止を命じられた
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、既知の悪用脆弱性(KEV)カタログに新しいバグを追加し、継続中の攻撃について米国の連邦機関に警告し、すぐにパッチを当てるよう促しています。
同機関は、Wing FTPサーバーで見つかったバグCVE-2025-47813をKEVに追加しました。
Wing FTPサーバーは、MOVEitやGoAnywhere Managed File Transfer(MFT)ソリューションと同様に、ファイルを安全に共有・管理するために使用されるクロスプラットフォームファイル転送サーバーです。そのウェブサイトによると、米空軍、エアバス、ロイター、ソニーなどで使用されています。
記事はこの下に続きます
概念実証
このバグは、エラーメッセージで機密データを露出させる可能性がある「情報開示脆弱性」として説明されています。これは、アプリケーションが長いUIDクッキー値を不適切に処理し、サーバーの完全なローカルインストールパスを明かすエラーメッセージをトリガーするために発生します。
これは4.3/10(中程度)の深刻度スコアを与えられました。つまり、最も重大なバグではありませんが、偵察に使用でき、他のバグと組み合わせてより深刻な攻撃を仕掛けることができます。実際、これは今まさに現実の世界で起こっていることです。
BleepingComputerによると、セキュリティ研究者のJulien Ahrensは2025年夏に概念実証(PoC)エクスプロイトコードを共有し、攻撃者がCVE-2025-47812として追跡される別のバグとこれをチェーンしていることを強調しました。
このバグはWing FTPサーバー7.4.4以前のすべてのバージョンに影響を与え、2025年5月にパッチが当たりました。同じ修正は2つの追加バグに対応しました – CVE-2025-57812として追跡される重大なリモートコード実行(RCE)脆弱性とCVE-2025-27889として追跡される情報開示フロー。
現在、連邦文民行政機関(FCEB)は3月30日に期限が切れるソフトウェアのパッチ当ての2週間の期限があります。または、製品の使用を完全に停止することもできます。
「このタイプの脆弱性は、悪意のあるサイバー行為者の頻繁な攻撃ベクトルであり、連邦機関に重大なリスクをもたらします」とCISAは述べました。「ベンダーの指示に従って対策を適用し、クラウドサービスに対する適用可能なBOD 22-01ガイダンスに従うか、対策が利用できない場合は製品の使用を中止してください。」
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式のアンボックスを見たり、WhatsAppでも私たちから定期的な更新を受け取ることができます。
