Агентство кибербезопасности и безопасности инфраструктуры (CISA) выпустило критическое предупреждение для правительственных учреждений США об активно эксплуатируемой уязвимости в Wing FTP Server. Зарегистрированная как CVE-2025-47813, эта уязвимость позволяет злоумышленникам с низкими привилегиями обнаруживать полный локальный путь установки приложения на непропатченных серверах. По данным CISA, уязвимость возникает при использовании длинного значения в cookie UID, что приводит к созданию сообщения об ошибке, содержащего конфиденциальную информацию. Это раскрытие пути может служить критическим этапом разведки, потенциально позволяя атакующим скомбинировать эту уязвимость с другими, такими как критическая уязвимость удаленного выполнения кода (RCE) CVE-2025-47812, которая была исправлена одновременно, для достижения полного компрометации системы.
Wing FTP Server — это широко распространенное кроссплатформенное решение для передачи файлов, поддерживающее FTP, SFTP и веб-передачи. Его разработчик заявляет о более чем 10 000 клиентов по всему миру, включая такие известные организации, как ВВС США, Sony, Airbus, Reuters и Sephora, что делает его высокоценной целью для злоумышленников. Уязвимости, обнаруженные и сообщенные исследователем безопасности Джулианом Аренсом, были устранены разработчиком в мае 2025 года с выпуском Wing FTP Server версии 7.4.4. Примечательно, что критическая уязвимость RCE (CVE-2025-47812) наблюдалась в эксплуатации в дикой природе всего через один день после публичного раскрытия ее технических деталей, что подчеркивает быстрое оружие таких уязвимостей.
Это предупреждение от CISA поступает на фоне серии значительных инцидентов кибербезопасности, рисующих картину сложной и активной угрозы. В связанных новостях британская Companies House подтвердила уязвимость безопасности, которая раскрыла бизнес-данные, в то время как Microsoft устранила сбой, блокирующий доступ к почтовым ящикам Exchange Online, и удалила проблемное приложение Samsung из своего магазина. Отдельно сложная атака на Stryker продемонстрировала, что очистка десятков тысяч устройств не всегда требует традиционного вредоносного ПО, подчеркивая развивающиеся методы атакующих. Кроме того, FBI ищет жертв кампании, в которой игры Steam использовались для распространения вредоносного ПО, а скомпрометированный AppsFlyer Web SDK был захвачен для распространения JavaScript-кода, ворующего криптовалюту.
Совокупность этих событий подчеркивает критическую необходимость для организаций поддерживать строгие программы управления исправлениями и устранения уязвимостей. Быстрая эксплуатация уязвимости RCE в Wing FTP Server демонстрирует, что злоумышленники постоянно отслеживают публичные раскрытия для запуска атак. Для администраторов требуются немедленные действия: все экземпляры Wing FTP Server должны быть обновлены до версии 7.4.4 или более поздней без задержки. Кроме того, организациям следует пересмотреть свою более широкую поверхность атаки, включая сторонние SDK и компоненты цепочки поставок, как это видно из инцидента с AppsFlyer, и обеспечить наличие надежных конфигураций безопасности.
В конечном счете, рекомендация по Wing FTP Server служит мощным напоминанием о постоянных рисках, связанных с программным обеспечением, доступным из интернета. В эпоху, когда цифровая инфраструктура находится под постоянной осадой, проактивная защита — включающая своевременное исправление, постоянный мониторинг и соблюдение лучших практик безопасности, таких как включение защиты Kernel-mode Hardware-enforced Stack Protection в Windows 11, — не подлежит обсуждению. Поскольку злоумышленники совершенствуют свои методы, от эксплуатации уязвимостей программного обеспечения до злоупотребления доверенными платформами, всесторонняя и бдительная позиция безопасности остается наиболее эффективной защитой от все более изощренных киберугроз.
