――nullバイト経由のLuaコードインジェクション、root権限でのリモート実行も可能に

2025年7月1日、Wing FTP Serverに存在していた**リモートコード実行（RCE）の脆弱性「CVE-2025-47812」が、実際の攻撃に利用されていたことがセキュリティ研究者により確認された。この脆弱性はCVSSスコア10.0（最大値）**の評価を受けており、深刻度が極めて高い。

Wing FTP Serverはクロスプラットフォーム対応の商用ファイル転送サーバーで、全世界で1万社超の導入実績があり、エアバス、ロイター、米空軍などの大手企業・組織が顧客として名を連ねる。

本脆弱性は、2025年5月14日にリリースされたバージョン7.4.4で修正されていたが、脆弱性の詳細がRCE Securityにより6月30日に公開された直後、わずか24時間以内の7月1日に実際の攻撃が観測された。この攻撃を検知したのはセキュリティ企業Huntressの研究者らである。

攻撃手法：nullバイトでバリデーション回避、Luaコード注入でroot権限奪取

攻撃者は、ユーザー名フィールドにnullバイト（%00）を挿入する手法を利用し、Luaスクリプトコードの注入を実行。これにより、Wing FTP ServerがLuaベースで構成する一部の設定処理において、任意のコードをroot権限で実行できる状態にあったことが判明した。

ただし、今回の観測された攻撃では、攻撃者がcurlコマンドの使用方法を調べるなど未熟な様子が見られ、PowerShellのクラッシュやMicrosoft Defenderによるトロイの木馬検出によって、深刻な被害には至っていないとされる。

企業に求められる対応

Wing FTP Serverのユーザー企業に対しては、脆弱性が修正されたバージョン7.4.4以降への早急なアップデートが強く推奨される。加えて、nullバイトやLuaコードを含む異常ログの確認、公開されているPoC（概念実証コード）の有無の監視、および不審なコマンド実行の痕跡調査も必要だ。

脆弱性の詳細やPoCが既に公開されているため、今後も技術力の高い攻撃者による悪用の可能性は高く、セキュリティ担当者は監視体制の強化が求められる。

引用元記事：https://innovatopia.jp/cyber-security/cyber-security-news/60293/