出典: Security NEXT – https://www.security-next.com/182221
「Wing FTP Server」の脆弱性悪用を米当局が確認、注意喚起を発表
米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、ファイル転送ソフトウェア「Wing FTP Server」に存在する既知の脆弱性「CVE-2025-47813」が実際に悪用されていることを確認し、対応を促す注意喚起を行いました。本記事では、この脆弱性の概要と影響、対策について解説します。
主要なポイント
- 脆弱性の内容:「Wing FTP Server」のローカルインストールパスが漏洩する問題で、認証済みユーザーが細工したCookieを設定することでパス情報を取得可能。
- 匿名ログイン環境のリスク:匿名ログインが許可されている場合、認証なしで脆弱性を悪用される恐れがあるため、より深刻なリスクとなる。
- CVSSスコアと影響:MITREによる評価はCVSSv3.1で「4.3」と中程度。単体の悪用では大きな被害は想定されないが、他の脆弱性と組み合わせることで被害拡大の可能性がある。
- 修正状況:2025年5月にリリースされた「Wing FTP Server 7.4.4」で修正済み。2025年6月には脆弱性の概念実証(PoC)も公開されている。
- 米当局の対応:CISAは「悪用が確認された脆弱性カタログ(KEV)」に本脆弱性を追加し、米国内の行政機関に対して期限内の対策実施を求めている。
技術的な詳細や背景情報
「Wing FTP Server」は企業や組織で広く利用されるFTPサーバソフトウェアです。今回の脆弱性「CVE-2025-47813」は、認証済みユーザーがHTTP Cookieに細工を施すことで、サーバのローカルインストールパスといった内部情報を取得できてしまう問題です。これにより、攻撃者はシステムの構成情報を把握し、さらなる攻撃の足掛かりとする可能性があります。
特に匿名ログインが許可されている環境では、認証を経ずに脆弱性が悪用されるため、リスクが高まります。MITREのCVSS(共通脆弱性評価システム)v3.1によるスコアは4.3で、中程度の脆弱性に分類されますが、他の脆弱性と組み合わせて利用されるケースが懸念されています。
この脆弱性は2025年5月にリリースされたバージョン7.4.4で修正されており、修正パッチの適用が推奨されます。なお、2025年6月には脆弱性の詳細な解析と概念実証コード(PoC)が公開されており、攻撃者が悪用しやすい状況となっています。
影響や重要性
本脆弱性は単独では大きな被害をもたらさないものの、内部情報の漏洩により攻撃者がシステムの弱点を把握しやすくなるため、他の脆弱性と組み合わせて悪用されるリスクが高い点が重要です。特に匿名ログインが可能な環境では、認証を必要とせずに攻撃が成立するため、企業や組織のセキュリティ体制に大きな影響を及ぼす可能性があります。
米CISAが行政機関に対して期限内の対策を義務付けるなど、国家レベルでの対応が進んでいることからも、早急な対応が求められています。Wing FTP Serverを利用している組織は、速やかに最新版へのアップデートや設定の見直しを行うことが重要です。
まとめ
「Wing FTP Server」の脆弱性「CVE-2025-47813」は、認証済みユーザーが細工したCookieを用いてサーバの内部パス情報を取得できる問題で、匿名ログイン環境では認証なしで悪用される恐れがあります。2025年5月に修正済みですが、概念実証コードの公開により攻撃リスクが高まっています。
米CISAが悪用を確認し、行政機関に対策を促すなど注意喚起を行っているため、利用者は速やかにアップデートを適用し、設定の見直しを行うことが強く推奨されます。セキュリティ対策を怠ると、他の脆弱性と組み合わせて大きな被害につながる可能性があるため、早急な対応が必要です。
