Trusted Design

解説:

CVE-2025-47812について、以下の観点で解説します。

1. 脆弱性の概要

Wing FTP Serverのユーザーおよび管理者Webインターフェースにおいて、NULLバイトの不適切な処理に起因するリモートコード実行（RCE）の脆弱性です。特に、/loginok.htmlエンドポイントでユーザー名を処理する際にNULLバイト（\0）が適切に扱われないため、攻撃者が任意のLuaコードをユーザーセッションファイルに注入できます。これにより、最終的にFTPサービスの権限（Linuxではroot、WindowsではSYSTEM）で任意のシステムコマンドが実行される可能性があります。匿名FTPアカウントを介しても悪用可能です。

1.1 影響

本脆弱性が悪用された場合、攻撃者は認証をバイパスし、たとえ匿名かつ読み取り専用のアカウントであっても、サーバーの完全な侵害を可能にします。具体的には、任意のLuaコードの注入と実行、任意のシステムコマンドの実行、機密データへのアクセス、システムリソースの改ざんや削除、さらなる攻撃（ランサムウェア展開、内部ネットワークへの横展開など）につながる可能性があります。これにより、運用停止や復旧コストが発生する恐れがあります。

1.2 深刻度

CVSS v3.1基本スコアは10.0（Critical）と評価されており、最大の深刻度を示します。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の既知の悪用された脆弱性（KEV）カタログにも追加されており、積極的に悪用されていることが確認されています。

2. 対象となる環境

対象ソフトウェア: Wing FTP Server

2.1 影響を受けるOSバージョン

本脆弱性自体はOSに依存しませんが、影響を受けるWing FTP Serverが稼働しているOS上で、Linuxの場合はroot権限、Windowsの場合はSYSTEM権限でコードが実行される可能性があります。macOSも対象に含まれます。

2.2 影響を受ける設定

Wing FTP Serverのバージョン7.4.4より前のすべてのバージョンが影響を受けます。特に、Webインターフェースが公開されており、匿名アクセスが許可されている場合に悪用リスクが高まります。

3. 影響を受けた時の兆候

• Wing FTP Serverのウェブインターフェース経由で、不審なシステムコマンドがrootまたはSYSTEM権限で実行されている。
• 正規ではないLuaコードがユーザーセッションファイルに注入されている痕跡が見られる。
• Wing FTP Serverが稼働しているシステムで、パフォーマンスの低下や異常な動作が確認される。
• システムログに異常なログイン試行や、予期しないファイル作成・変更の記録が見られる場合。
• CISAのKEVカタログに掲載されており、既に悪用が確認されているため、脆弱なバージョンのWing FTP Serverが存在する場合、積極的に攻撃を受けている可能性があります。

4. 推奨対策

4.1 本対策

直ちにWing FTP Serverをバージョン7.4.4以降にアップデートしてください。これが最も効果的かつ優先すべき対策です。

4.2 暫定回避策（緩和策）

• Wing FTP Serverをネットワークから隔離するか、インターネットからのアクセスを制限してください。
• ファイアウォールルールを設定し、Wing FTP ServerのWebインターフェースが利用するポート（通常80番および443番）への外部からのインバウンドトラフィックをブロックしてください。
• アップデートが不可能な場合は、製品の使用を中止することを検討してください。
• CISAのBOD 22-01ガイダンスに従って、クラウドサービスにおける適切な緩和策を適用するか、緩和策が利用できない場合は製品の使用を中止してください。

その他に解説すべき観点

• 積極的な悪用: 本脆弱性はPoC（概念実証）コードが公開されており、既に現実の攻撃で積極的に悪用されていることが確認されています。 そのため、迅速な対応が求められます。
• CWE識別子: CWE-158 (NULLバイトまたはNULL文字の無害化に関する不備) および CWE-94 (コードインジェクション) に分類されます。

参照したサイト

• NVD: CVE-2025-47812 Detail
• Horizon3.ai: CVE‑2025‑47812: Wing FTP
• CVE Record: CVE-2025-47812
• SonicWall: Wing FTP Server Remote Code Execution: CVE-2025-47812
• Tenable: CVE-2025-47812
• Censys: July 9 Advisory: Unauthenticated RCE in Wing FTP Server [CVE-2025-47812]
• ITmedia エンタープライズ: ファイル転送サービスを脅かす極めて深刻な脆弱性「CVE-2025-47812」について
• SOCRadar Labs: CVE-2025-47812 - CVE Details & Analysis
• Qualys ThreatPROTECT: WingFTP Critical Remote Code Execution Vulnerability (CVE-2025-47812)
• SentinelOne: CVE-2025-47812: Wing FTP Server RCE Vulnerability
• ITmedia エンタープライズ: Wing FTP Serverの脆弱性をハッカーが悪用中 管理者レベルの権限奪取リスク
• ScanNetSecurity: Wing FTP Server における遠隔からの任意のコード実行が可能となる NULL バイト処理の不備（Scan Tech Report）
• Security NEXT: 「Wing FTP Server」狙う脆弱性攻撃に注意 - 詳細公表翌日より発生
• Vicarius: CVE-2025-47812 Mitigation Script - Remote Code Execution Vulnerability in Wing FTP Server
• IoT OT Security News: Wing FTP Server の脆弱性 CVE-2025-47812 が FIX：認証不要の RCE と PoC の存在
• Huntress: Wing FTP Server RCE (CVE-2025-47812) Exploited in the Wild
• 騰訊雲 (Tencent Cloud): CVE-2025-47812：Wing FTP Server 高危RCE漏洞分析与利用
• RCE Security: What the NULL?! Pre-Auth Wing FTP Server RCE (CVE-2025-47812)
• Cyber Press: Critical Vulnerability in Wing FTP Server Allows Attackers to Seize Full Control
• GitHub: 4m3rr0r/CVE-2025-47812-poc
• Vicarius: CVE-2025-47812 Detection Script - Remote Code Execution Vulnerability in Wing FTP Server
• JVN iPedia: JVNDB-2025-008978