Агентство кибербезопасности и инфраструктурной безопасности США (CISA) расширило свой каталог активно эксплуатируемых уязвимостей (Known Exploited Vulnerabilities), добавив новый пункт. Речь идет об уязвимости в популярном корпоративном файловом сервере Wing FTP, которая уже используется в реальных атаках. Это решение CISA, основанное на подтвержденных данных об активной эксплуатации, служит формальным сигналом для всех государственных учреждений США и серьезным предупреждением для частного сектора по всему миру. Инцидент подчеркивает, как относительно простая ошибка в программном обеспечении, раскрывающая служебную информацию, может стать важным элементом в цепочке кибератаки, особенно если она затрагивает широко распространенные корпоративные системы.
Детали уязвимости CVE-2025-47813
Уязвимость, получившая идентификатор CVE-2025-47813, классифицируется как раскрытие информации. Она присутствует в веб-админке файлового сервера Wing FTP версий ранее 7.4.4. Конкретно проблема находится в файле "loginok.html". Если злоумышленник, имеющий учетные данные для входа в систему (права низкого уровня достаточно), отправляет специально сформированный запрос с очень длинным значением в cookie-файле с именем UID, сервер в ответе на ошибку выдает полный локальный путь к месту установки приложения на диске. С технической точки зрения, это классический пример уязвимости класса CWE-209, то есть генерации сообщения об ошибке, содержащего конфиденциальную информацию.
Почему это важно и какую угрозу представляет
На первый взгляд, раскрытие пути установки кажется незначительной проблемой с низким уровнем риска, что подтверждается оценкой CVSS 4.3 (средний уровень). Однако в контексте реальных атак такая информация является ценным разведывательным активом. Зная точную структуру путей на сервере, злоумышленники могут повысить эффективность последующих атак. Например, эта информация может критически помочь при подготовке и выполнении эксплуатации другой, более серьезной уязвимости, для которой требуется знание точного расположения файлов. Это превращает CVE-2025-47813 из изолированного недостатка в опасный инструмент для разведки и подготовки целевого взлома.
Связь с критической уязвимостью и контекст эксплуатации
Особую тревогу вызывает тот факт, что данная уязвимость связана с другим, гораздо более опасным дефектом в том же продукте - CVE-2025-47812. Эта уязвимость, оцененная в 10.0 баллов по шкале CVSS, позволяет удаленно выполнять произвольный код на сервере и, согласно открытым источникам, уже активно эксплуатируется в дикой среде с июля 2025 года. Высока вероятность, что CVE-2025-47813 используется злоумышленниками именно как вспомогательный инструмент в цепочке атаки, направленной на полный захват контроля над уязвимым сервером Wing FTP. Сначала атакующие с помощью утечки пути могут уточнить окружение, а затем применить эксплойт для удаленного выполнения кода, что делает атаку более надежной и целенаправленной. Таким образом, добавление CVE-2025-47813 в каталог KEV - это реакция на наблюдение за реальными, комплексными кибероперациями.
Рекомендации по устранению и защите
Вендор, компания wftpserver, уже выпустила исправление в версии Wing FTP Server 7.4.4. Следовательно, основная и самая эффективная мера защиты - немедленное обновление всех экземпляров сервера до актуальной версии. Администраторам, которые по каким-либо причинам не могут быстро выполнить обновление, следует рассмотреть возможность применения временных мер контроля. В частности, необходимо обеспечить строгий контроль за доступом к веб-интерфейсу администрирования, ограничив его по IP-адресам и используя многофакторную аутентификацию. Кроме того, рекомендуется активно мониторить журналы доступа к веб-интерфейсу на предмет подозрительных попыток входа и необычно длинных значений в параметрах запросов.
Выводы и последствия для бизнеса
Данный инцидент наглядно демонстрирует важность своевременного применения всех обновлений безопасности, даже для тех уязвимостей, которые изначально кажутся незначительными. В современном ландшафте угроз злоумышленники редко используют один изолированный эксплойт, вместо этого они выстраивают целые цепочки из нескольких уязвимостей. Простая ошибка, раскрывающая системную информацию, может стать тем самым недостающим звеном, которое приведет к полной компрометации корпоративного файлового хранилища. Для организаций, использующих Wing FTP Server, текущая ситуация является прямым указанием к действию. Игнорирование предупреждения CISA и рекомендаций вендора может привести к утечке конфиденциальных данных, нарушению бизнес-процессов и существенным финансовым и репутационным потерям.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-47813
- https://www.cisa.gov/news-events/alerts/2026/03/16/cisa-adds-one-known-exploited-vulnerability-catalog
- https://www.rcesecurity.com/2025/06/what-the-null-wing-ftp-server-rce-cve-2025-47812/
- https://github.com/MrTuxracer/advisories/blob/master/CVEs/CVE-2025-47813.txt
- https://www.cyber.gc.ca/en/alerts-advisories/wing-ftp-security-advisory-av25-391
- https://www.wftpserver.com/serverhistory.htm
