Critical Wing FTP Server Vulnerability (CVE-2025-47812) Actively Being Exploited in the Wild
2025/07/11 TheHackerNews — 先日に公開された Wing FTP Server に影響を与える深刻なセキュリティ脆弱性だが、実環境で積極的に悪用される状況にあると、サイバー・セキュリティ企業 Huntress が警告している。この脆弱性 CVE-2025-47812 (CVSS スコア:10.0) は、サーバの Web インターフェイスにおけるヌルバイト “\0” の不正処理に起因し、リモート・コード実行を可能にするものである。ただし、この問題は、バージョン 7.4.4 において修正されている。
CVE.org のアドバイザリには、「ユーザーおよび管理者向け Web インターフェイスに存在する、ヌルバイト処理の欠陥により、最終的には、ユーザー・セッション・ファイルへの任意の Lua コード注入が可能になる。それにより、FTP サービス (デフォルトでは root/SYSTEM 権限) により、任意のシステム・コマンドが実行され得る」と記されている。
特に懸念されるのは、匿名 FTP アカウントを通じた悪用が可能な点である。この脆弱性の詳細な分析は、RCE Security の研究者 Julien Ahrens により、2025年6月末に公開されている。
Huntress による報告は、この脆弱性を悪用してする脅威アクターが、悪意の Lua ファイルをダウンロード/実行し、偵察活動/リモート監視/管理ソフトウェアのインストールなどを試行しているというものだ。
研究者たちは、「脆弱性 CVE-2025-47812 は、ユーザー名パラメータにおけるヌルバイト (Null byte) の処理方法に起因する欠陥であり、認証処理を担う loginok.html に強く影響する。この処理の欠陥により、Lua インジェクションが実行される可能性がある」と述べている。
彼らは、「ヌルバイト・インジェクションを悪用する攻撃者は、セッション属性を保持する Lua ファイルへの、入力を妨害することも可能となる」とも指摘している。
この脆弱性の実際の悪用は、2025年7月1日の時点で、特定の顧客環境において初めて観測されたという。それは、この脆弱性の詳細が公開された翌日のことである。この脅威アクターは侵入後に、列挙/偵察のためのコマンドを実行し、永続化手段として新規ユーザーを作成し、ScreenConnect のインストーラをドロップする Lua ファイルを展開したという。
なお、この攻撃は早期に検知/阻止されており、ScreenConnect の RDP ソフトウェアが、実際にインストールされた証拠は確認されていない。現時点において、この攻撃を背後で操る人物は不明である。
Censys のデータによると、インターネット上で公開されている、Wing FTP Server 実行しりデバイスは 8,103台であり、そのうち 5,004台において、Web インターフェイスが外部に露出しているという。また、そのインスタンスの大半は、米国/中国/ドイツ/英国/インドに分布している。
すでに積極的な悪用が確認されていることから、ユーザーに対して強く推奨されるのは、Wing FTP Server をバージョン 7.4.4 以降へと速やかに更新し、最新パッチを適用することだ。
Wing FTP Server に発見されたの脆弱性は、匿名ユーザーであっても悪用できる深刻な問題であり、すでに現実世界で悪用され始めています。攻撃者は管理権限を取得し、遠隔操作やスパイ行為を試行できるため、きわめて危険だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-47812 で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.