ハッカーは、Wing FTP Server の重大なリモート・コード実行の脆弱性を悪用し始めている。
観測された攻撃は、複数の列挙および偵察コマンドを実行し、その後、新しいユーザーを作成することで永続性を確立しました。
悪用されたWing FTP Serverの脆弱性は、CVE-2025-47812として追跡され、最高の深刻度スコアを獲得しています。これは、ヌルバイトとLuaコードインジェクションの組み合わせであり、リモートの認証されていない攻撃者が、システム上の最高権限(root/SYSTEM)でコードを実行することを可能にします。
Wing FTP サーバは、Lua スクリプトを実行できるセキュアなファイル転送を管理するための強力なソリューションであり、企業や SMB 環境で広く使用されています。
6月30日、セキュリティ研究者のJulien Ahrens氏は、CVE-2025-47812のテクニカルライティングアップを発表し、この欠陥は、C++におけるヌル終端文字列の安全でない処理と、Luaにおける不適切な入力サニタイズに起因すると説明した。
研究者は、ユーザー名フィールドのヌルバイトが認証チェックを迂回し、セッションファイルへのLuaコードインジェクションを可能にすることを実証した。
これらのファイルがその後サーバーによって実行されると、root/SYSTEMとして任意のコードを実行することが可能です。
CVE-2025-47812と共に、研究者はWing FTPの別の3つの欠陥を提示しました:
- CVE-2025-27889– ユーザーがログインフォームを送信した場合、JavaScript の変数 (location) に安全でないパスワードが含まれるため、細工された URL 経由でユーザーのパスワードを流出させられる。
- CVE-2025-47811– Wing FTP はデフォルトで root/SYSTEM として実行され、サンドボックス化も特権降下も行われないため、RCE が非常に危険です。
- CVE-2025-47813– 長すぎる UID クッキーを供給するとファイルシステムのパスがわかる
すべての欠陥は Wing FTP バージョン 7.4.3 以前が対象です。ベンダーは2025年5月14日にバージョン7.4.4をリリースすることで問題を修正したが、CVE-2025-47811は重要ではないと判断された。
マネージド・サイバーセキュリティ・プラットフォームHuntressの脅威研究者は、CVE-2025-47812の概念実証エクスプロイトを作成し、ハッカーがどのように攻撃に活用できるかを以下のビデオで紹介している:
Huntressの研究者は、CVE-2025-47812の技術的詳細が公開された翌日の7月1日に、少なくとも1人の攻撃者が同社の顧客の1社でこの脆弱性を悪用していることを発見しました。
この攻撃者は、「loginok.html」を標的として、ヌルバイトを注入したユーザー名で不正なログインリクエストを送信しました。これらの入力は、サーバーにLuaコードを注入する悪意のあるセッション.luaファイルを作成した。
注入されたコードは、ペイロードを16進デコードし、cmd.exeを介して実行するように設計されており、リモートロケーションからマルウェアをダウンロードして実行するためにcertutilを使用していました。
Huntressによると、同じWing FTPインスタンスが、短時間のうちに5つの異なるIPアドレスによって標的とされており、複数の脅威行為者による大量スキャンと悪用の試みを示している可能性があるという。
これらの試みで観測されたコマンドは、偵察、環境内の永続性の取得、cURLツールとウェブフックエンドポイントを使用したデータ流出でした。
ハッカーは攻撃を失敗させたが、その理由は「不慣れなためか、Microsoft Defenderが攻撃の一部を止めたためかもしれない」とHuntress氏は言う。とはいえ、研究者はWing FTPサーバーの重大な脆弱性の明確な悪用を観測している。
たとえハントレスが顧客で失敗した攻撃を観察したとしても、ハッカーは到達可能なWing FTPインスタンスをスキャンし、脆弱なサーバーを利用しようとする可能性が高い。
企業はできるだけ早くバージョン7.4.4にアップグレードすることを強く推奨する。
より新しく安全なバージョンへの切り替えが不可能な場合、研究者の推奨は、Wing FTPウェブポータルへのHTTP/HTTPsアクセスを無効にするか制限し、匿名ログインを無効にし、セッションディレクトリに不審なものが追加されていないか監視することである。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
2025年に共通する8つの脅威
クラウド攻撃はより巧妙になっているかもしれないが、攻撃者は驚くほど単純なテクニックで成功している。
本レポートでは、何千もの組織におけるWizの検知結果から、クラウドを駆使する脅威者が使用する8つの主要なテクニックを明らかにします。
Comments