Wing FTP Server の脆弱性 CVE-2025-47812 (CVSS:10.0):積極的な悪用が始まった

Wing FTP Server Vulnerability Actively Exploited – 2000+ Servers Exposed Online

2025/07/14 CyberSecurityNews — Wing FTP Server に存在する深刻な脆弱性だが、技術情報が公開された翌日に、すでに悪用されていたという事実を、セキュリティ研究者たちが確認した。この脆弱性 CVE-2025-47812 (CVSS:10.0) を悪用する未認証の攻撃者は、root 権限/SYSTEM 権限による、リモート・コード実行の可能性を手にする。

この脆弱性は、同年6月30日の時点で、セキュリティ研究者である Julien Ahrens から Wing FTP へと、適切に情報開示されたものだ。なお、この問題は、2025年5月14日にリリースされたバージョン 7.4.4 で修正されている。

この技術的な詳細情報が、公開された直後から悪用が始まり、Huntress のセキュリティ研究者たちは、2025年7月1日の時点で最初の攻撃を確認した。

Wing FTP Server の Web インターフェイスにおける “loginok.html” エンドポイントにおいて、認証リクエストを処理する際の null バイト処理の不備に、この脆弱性 CVE-2025-47812 に起因する。

この欠陥は、null バイト・インジェクションと Lua コード・インジェクションの組み合わせにより発生し、それを悪用する攻撃者は認証チェックを回避し、サーバ・セッション・ファイルに任意のコマンドを挿入できる。

特別に細工されたパラメータを (ユーザー名) を取り込んだ、HTTP POST リクエストを “loginok.html” に送信し、null バイト (%00) に後ろに Lua コードを挿入することで、攻撃者はセッション作成プロセスを操作できる。この悪意のセッション・ファイルをサーバが処理する際に、挿入されている Lua コードは昇格された権限で実行されるため、攻撃者によるシステムの完全な制御が達成される。

この脆弱性を用いることで Huntress が開発したのは、Linux の root 権限と、Windows の SYSTEM 権限で、任意コードを実行する PoC エクスプロイトである。

この攻撃は、デフォルトに対しては無効であるが、一部のコンフィグが有効化されている、匿名 FTP アカウントを介しても実行が可能であるため、きわめて危険な状況となっている。

インターネットへの広範な露出

Censys のデータによると、世界で約 8,103 台の公開デバイスが Wing FTP Server を実行しており、そのうち 5,004 台が、Web インターフェイスをインターネット上に公開しているという。

その一方で Shadowserver Foundation は、露出する Wing FTP Server インスタンスを実行する、約 2,000件の IP アドレスを特定している。ただし、すべてのシステムに対して、具体的な脆弱性チェックは実施されていないという。

shadowserver foundation results
shadowserver foundation results

地理的な分布を見ると、潜在的に脆弱なシステムは 米国/中国/英国/ドイツ/インドに集中している。また、ファイル転送業務に Wing FTP Server を利用する組織には、Airbus/Reuters/米国空軍などが含まれており、重要インフラ分野への影響が浮き彫りとなっている。

観測された攻撃活動

2025年7月1日以降において、Huntress の研究者たちが観測したのは、同社の顧客の Wing FTP Server を標的とする、脅威アクターによる活発な攻撃活動である。短期間において、同一システムを標的とする 5種類の IP アドレスが観測されており、協調的なスキャン/攻撃の可能性が示唆されている。

確認された攻撃シーケンスは、以下のとおりである:

  1. ipconfigarp -anslookup などによる初期偵察
  2. whoaminet user/PowerShell スクリプトによるシステム列挙
  3. 永続化のための新規ユーザー・アカウントの作成
  4. certutilcurl を介したリモート・マルウェアのダウンロード/実行
  5. ScreenConnect を用いたリモート・アクセス・ツールのインストール

この攻撃は、Microsoft Defender の介入と攻撃者の経験不足により、失敗に終わったが、脆弱性 CVE-2025-47812 の悪用が確認される事例となった。

2025年5月14日にリリースされた Wing FTP Server バージョン 7.4.4 では、問題の CVE-2025-47812 に加えて、CVE-2025-47813 や パス漏洩の欠陥も修正されている。このアクティブなエクスプロイトの存在を受けて、ベンダーからユーザーへと、アップグレード・ガイダンスがメールで通知されているという。

なお、暫定的な保護対策としては、以下が推奨される。

  • Wing FTP – Web ポータルへの HTTP/HTTPS アクセスの無効化/制限
  • 匿名ログイン機能の無効化
  • セッション・ディレクトリ内の “.lua” ファイルの監視
  • ネットワーク・セグメンテーションの実装によるリスクの制限

この脆弱性が影響を及ぼす範囲は、Wing FTP Server が対応する、すべての主要 OS であり、その中には Windows/Linux/macOS が含まれる。安全なファイル転送を実現するために、この製品が企業環境で広く導入されている事実を踏まえ、セキュリティ・コミュニティが強く推奨するのは、速やかなパッチ適用である。

Wing FTP Server を運用する組織は、バージョン 7.4.4 以降へのアップグレードを最優先とすべきである。さらに、ファイル転送インフラの徹底的なセキュリティ評価と、潜在的侵害兆候を検出するための監視を実施すべきである。

この脆弱性は、最大の深刻度を持ち、積極的に悪用され、インターネット上で広範に公開されている。したがって、ユーザー組織のセキュリティに対する、重大な脅威として認識されるべきである。

Wing FTP Server に発見された深刻な脆弱性 CVE-2025-47812 ですが、技術情報が公開された翌日に攻撃が開始されるという状況にあります。この数年にわたり、各種の FTP サーバが標的化されており、脅威アクターたちが攻撃を成功させているという現実があります。ご利用のチームは、十分に ご注意ください。よろしければ、CVE-2025-47812 で検索も、ご参照ください。