Les acteurs de la menace exploitent activement une vulnérabilité d’exécution de code distante récemment fixe (CVE-2025-47812) dans Wing FTP Server, ont averti des chercheurs en sécurité.
Serveur FTP Wing et CVE-2025-47812
Wing FTP Server est une solution de serveur de transfert de fichiers commercial utilisé par les entreprises, les MSP et les fournisseurs d’hébergement.
Le logiciel peut être installé sur les systèmes d’exploitation 64 bits: Windows, Windows Server, Linux et MacOS. L’administration se fait via une interface Web. Les utilisateurs téléchargent / téléchargent également des fichiers via le navigateur.
Le CVE-2025-47812 est causé par les interfaces Web utilisateur et admin de Wing FTP Server et les octets Mishandle «\ 0» (c.-à-d. «NULL»), qui permet aux attaquants d’injecter du code LUA arbitraire dans les fichiers de session utilisateur.
“[The vulnerability] Peut être utilisé pour exécuter des commandes système arbitraires avec les privilèges du service FTP (racine ou système par défaut). Il s’agit donc d’une vulnérabilité d’exécution de code distant qui garantit un compromis de serveur total. Ceci est également exploitable via des comptes FTP anonymes », explique The Flaw’s CVE Record.
Le CVE-2025-47812 a été découvert et rapporté en privé par le chercheur en sécurité RCE Julien Ahrens, et a été fixé dans Wing FTP Server V7.4.4, publié le 14 mai 2025.
Le 30 juin, le chercheur a publié un article détaillé sur le défaut, ainsi que décrit deux autres vulnérabilités (CVE-2025-47811, CVE-2025-47813), il a découvert en même temps. Il a également publié des avis, avec des exploits POC.
CVE-2025-47812 exploité
Selon les chercheurs de Huntress, il n’a pas fallu longtemps aux attaquants pour essayer de tirer parti du CVE-2025-47812: ils ont d’abord observé l’exploitation sur un client le 1er juillet 2025.
Leur analyse de l’attaque a révélé l’implication de plusieurs attaquants différents, qui se sont connectés à la machine de la victime à partir de différentes adresses IP, ont effectué une reconnaissance, créé de nouveaux utilisateurs pour la persistance et essayé de télécharger et d’exécuter des fichiers de lots malveillants et le logiciel de surveillance et de gestion à distance de déconnecter.
Les attaquants n’étaient apparemment pas très qualifiés et ont été continuellement frustrés par Microsoft Defender installé sur l’ordinateur ciblé. L’attaque a été repérée relativement rapidement et la machine isolée.
«Malgré l’activité inutile des acteurs de la menace, cet incident montre que le CVE-2025-47812 est activement ciblé à ce stade. Bien que nous n’ayons connu l’activité d’exploitation que sur un client au 8 juillet 2025, les organisations peuvent se protéger au mieux en mettant à jour vers la version 7.4.4», a noté les chercheurs de Huntress, et des indicateurs partagés de compromis et de prétendus des entrées LOGS peuvent utiliser les chasseurs de menaces.
Autres vulnérabilités du serveur FTP Wing
Pour exploiter CVE-2025-47812, un acteur de menace doit d’abord s’authentifier avec des informations d’identification compromises ou, alternativement – si l’interface Web de Wing FTP le permet – avec un compte anonyme.
Ahrens a souligné, cependant, qu’ils pouvaient également utiliser CVE-2025-27889, une vulnérabilité de divulgation d’informations qui nécessite une interaction de l’utilisateur pour l’exploitation, mais peut révéler le mot de passe ClearText de l’utilisateur. (Également découvert et rapporté par lui, CVE-2025-27889 a été fixé dans la version 7.4.3 du serveur FTP Wing FTP, publié le 26 mars 2025.)
La version du serveur FTP le plus récent (7.4.4) comprend des correctifs pour CVE-2025-47812 et CVE-2025-47813, mais pas CVE-2025-47811, ce qui pourrait permettre aux attaquants d’exécuter du code avec les privilèges les plus élevés possibles. Selon Ahrens, «le vendeur pense [CVE-2025-47811] C’est bien à garder malgré la raison pour laquelle nous avons obtenu un accès root complet. »
Selon Internet Infrastructure Intelligence Plateforme Censys, il y avait environ 8 100 appareils exécutant le serveur FTP Wing FTP le 9 juillet, et quelque 5 000 avaient leurs interfaces Web exposées sur Internet.
“Les serveurs avec cette interface exposés sont potentiellement vulnérables, car l’exploit est effectué à l’aide d’une demande de post malveillante, comme démontré dans l’exploit POC”, ont-ils noté.
Abonnez-vous à notre alerte e-mail de Breaking News pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici!
