Kritische Sicherheitslücke: Aktive Ausnutzung der Wing FTP Server Schwachstelle

Schwere Sicherheitsbedrohung: Aktive Angriffe auf Wing FTP Server Schwachstelle

Sicherheitsexperten schlagen wegen einer gravierenden Remote-Code-Ausführungs-Schwachstelle (RCE) im Wing FTP Server Alarm. Die beliebte Unternehmenslösung für sichere Dateiübertragung und -verwaltung ist weltweit im Einsatz. Die Sicherheitslücke, offiziell als CVE-2025-47812 registriert, wurde am 30. Juni öffentlich bekannt. Bereits weniger als 24 Stunden nach Bekanntgabe wurde sie aktiv von Angreifern ausgenutzt.

 

Auswirkungen von CVE-2025-47812

Diese kritische Schwachstelle ermöglicht es nicht authentifizierten Angreifern, beliebigen Code mit SYSTEM- oder Root-Rechten auf ungepatchten Servern auszuführen. Das Risiko einer Remote-Code-Ausführung bedeutet, dass betroffene Systeme vollständig übernommen werden können. Angreifer erhalten so die Möglichkeit, die Kontrolle zu übernehmen, Rechte zu erweitern, interne Netzwerke zu erkunden und dauerhafte Zugangsmöglichkeiten einzurichten.

 

Über 10.000 Unternehmen, darunter Branchenriesen der Luft- und Raumfahrt, Medien und Verteidigung wie Airbus, Reuters und die US Air Force, setzen auf den Wing FTP Server. Aufgrund dieser weiten Verbreitung ist der Server besonders attraktiv für Cyberkriminelle.

 

Details zur Schwachstelle und Angriffsvektor

Die Schwachstelle, die mit Version 7.4.4 (veröffentlicht am 14. Mai 2025) behoben wurde, betrifft alle Versionen bis einschließlich 7.4.3. Zum Zeitpunkt der Offenlegung waren jedoch zahlreiche Systeme noch nicht aktualisiert und somit angreifbar, als technische Details veröffentlicht wurden.

 

Untersuchungen internationaler IT-Sicherheitsforscher wie Julien Ahrens ergaben, dass die Lücke durch unzureichende Eingabevalidierung entsteht. Angreifer können gezielt ein Nullbyte im Benutzernamenfeld einfügen und so Authentifizierungsmechanismen umgehen. Dadurch ist es zudem möglich, Schadcode in Form von Lua-Skripten in Sitzungsdateien einzuschleusen. Werden diese manipulierten Dateien anschließend vom Server verarbeitet, wird der Schadcode mit höchsten Berechtigungen ausgeführt.

Echte Angriffe wurden beobachtet, bei denen Angreifer etwa versuchten, über integrierte Windows-Tools wie certutil und cmd.exe bösartige Programme herunterzuladen und zu starten. Selbst vereitelte Versuche zeigen, dass Cyberkriminelle Privilegien ausweiten, Systeminformationen sammeln und neue Benutzerkonten für dauerhaften Zugriff anlegen.

Bemerkenswert ist, dass einige Angreifer wenig Erfahrung zeigten – etwa durch das Nachschlagen von Befehlen bei Google oder durch Einbindung Dritter. Allerdings bleibt das Risiko der Schwachstelle aufgrund der einfachen Ausnutzbarkeit unabhängig vom Skill-Level der Angreifer sehr hoch.

 

Hauptfunktionen, Vorteile und Einsatzgebiete des Wing FTP Servers

Der Wing FTP Server überzeugt mit einem breiten Funktionsumfang: Unterstützung verschiedener Protokolle (FTP, SFTP, HTTP/S, WebDAV), plattformübergreifende Kompatibilität und leistungsfähige Integrationsmöglichkeiten für Unternehmensprozesse. Die weite Verbreitung in sensiblen Bereichen unterstreicht seine Zuverlässigkeit und Skalierbarkeit für sicheren Dateitransfer.

 

Im Vergleich zu anderen FTP-Lösungen bietet Wing FTP Server fortschrittliches Sitzungsmanagement, individuelle Skripting-Möglichkeiten durch Lua sowie Authentifizierungsoptionen auf Unternehmensniveau. Die aktuellen Vorfälle betonen jedoch die Notwendigkeit proaktiver Sicherheitsupdates und einer permanenten Überwachung.

 

Empfohlene Schutzmaßnahmen und Reaktionen

Angesichts der kritischen Bedrohung durch CVE-2025-47812 ist sofortiges Handeln geboten. Fachleute raten allen Nutzern dringend, so schnell wie möglich auf Version 7.4.4 des Wing FTP Servers zu aktualisieren. Wo ein sofortiges Patchen nicht möglich ist, empfiehlt sich das Deaktivieren des HTTP/S-Zugangs, das Entfernen anonymer Logins sowie die sorgfältige Überwachung der Sitzungsdateien auf verdächtige Aktivitäten.

 

Darüber hinaus wurden drei weitere Schwachstellen identifiziert: Eine erlaubt Passwortdiebstahl via JavaScript, eine weitere gibt Serverpfade über überlange Cookies preis, und eine dritte zeigt fehlendes Sandboxing beim Wing FTP Server auf. Dennoch bleibt CVE-2025-47812 die gefährlichste Lücke, da sie eine vollständige Systemübernahme ermöglicht.

 

Fazit für IT-Abteilungen und Security-Teams

Die aktive Ausnutzung dieser kritischen RCE-Sicherheitslücke verdeutlicht sowohl die Beharrlichkeit moderner Angreifer als auch die essenzielle Bedeutung eines stringenten Patch- und Update-Managements. Unternehmen, die auf Wing FTP Server setzen, sollten ein konsequentes Aktualisierungs- und Überwachungskonzept etablieren, um ihre Daten und Systeme gegen aktuelle und künftige Cyberbedrohungen wirkungsvoll zu schützen.