CISA: Wing FTP Server-kwetsbaarheden actief misbruikt

In dit artikel:

CISA waarschuwt dat tegenstanders actief misbruikmaken van CVE-2025-47813 in Wing FTP Server, een kwetsbaarheid die het lokale installatiepad van de software prijsgeeft. Dat informatielek kan worden gecombineerd met CVE-2025-47812 — een kritische fout met CVSS‑score 10.0 — waardoor aanvallers via een null-byte-injectie in het gebruikersnaamveld willekeurige Lua-code kunnen uitvoeren met root/SYSTEM‑rechten. Het code‑uitvoeringslek is zelfs via anonieme FTP‑accounts te misbruiken.

Wing FTP Server wordt vaak ingezet voor het beheren van grote datatransfers en het aansturen van remote servers, waardoor misbruik ernstige gevolgen kan hebben voor organisaties met publiek bereikbare FTP-systemen. CVE-2025-47813 werkt via de pagina loginok.html in combinatie met een speciaal gevormd sessiecookie om het lokale pad te achterhalen; die padinformatie vergroot de kans op succesvolle vervolgaanvallen.

Beide kwetsbaarheden zijn ontdekt door onderzoeker Julien Ahrens; beveiligingsbedrijf Huntress rapporteerde actieve exploitatie al op 1 juli vorig jaar, een dag na de publieke bekendmaking van CVE-2025-47812. Rond die tijd waren naar schatting zo’n 5.000 internet‑toegankelijke servers vatbaar voor misbruik. CISA had in juli vorig jaar al gewaarschuwd voor misbruik van CVE-2025-47812 en meldt nu dat ook CVE-2025-47813 in het wild wordt aangevallen.

Er is een patch beschikbaar: beide lekken zijn verholpen in Wing FTP Server versie 7.4.4. Beheerders van publiek toegankelijke FTP‑servers wordt dringend aangeraden die update direct te installeren en hun logs en toegangscontroles te controleren op tekenen van compromittering.