Думали — мелкая утечка. Оказалось — ключ к взлому. Опасный 0-day в Wing FTP рисует хакерам карту: вот файлы, крадите на здоровье

CISA предупредило федеральные ведомства США о продолжающихся атаках на Wing FTP Server. В центре внимания оказалась не самая громкая уязвимость из этого набора, а CVE-2025-47813 - дефект с раскрытием служебной информации, который помогает злоумышленникам точнее бить по серверу и, по оценке исследователей, может использоваться в связке с уже известной уязвимостью удаленного выполнения кода. Агентство внесло проблему в каталог KEV, то есть в список уязвимостей, которые уже эксплуатируют на практике.

Wing FTP Server - кроссплатформенный сервер для передачи файлов с поддержкой FTP, SFTP и веб-доступа. Разработчики заявляют о более чем 10 тысячах клиентов по всему миру, среди которых упоминаются ВВС США, Sony, Airbus, Reuters и Sephora. На таком фоне даже уязвимость с ограниченным эффектом перестает выглядеть второстепенной, потому что речь идет о продукте, который часто стоит на внешнем периметре и работает с чувствительными файлами.

Проблема CVE-2025-47813 позволяет атакующему с низкими привилегиями узнать полный локальный путь установки приложения на не обновленном сервере. Сам по себе такой дефект не дает прямого захвата машины, но заметно упрощает дальнейшую атаку: сервер фактически подсказывает, где лежат нужные файлы и как устроена внутренняя структура установки. Исследователь Жюльен Аренс, который обнаружил и описал проблемы в Wing FTP, отдельно отмечал, что такая утечка может помогать при эксплуатации CVE-2025-47812, критической уязвимости удаленного выполнения кода.

Исправление для CVE-2025-47813 вышло еще в мае 2025 года в версии Wing FTP Server 7.4.4. Тогда же разработчики закрыли и две более опасные проблемы: CVE-2025-47812 с удаленным выполнением кода и CVE-2025-27889, дефект с раскрытием информации, который можно было использовать для кражи пароля пользователя. Именно CVE-2025-47812 быстро стала главной темой, потому что злоумышленники начали применять ее почти сразу после публикации технических деталей.

Позже Аренс опубликовал код доказательства концепции и для CVE-2025-47813. После этого сценарий с цепочкой стал выглядеть вполне реалистично: сначала атакующий вытягивает служебные сведения о структуре сервера, затем использует их как опору для более опасной эксплуатации. CISA не раскрывает деталей текущих атак, но само включение CVE-2025-47813 в KEV означает, что у агентства есть подтверждение реального использования уязвимости, а не только теоретической угрозы.

Федеральным гражданским ведомствам США дали две недели на защиту систем в рамках директивы BOD 22-01. Формально требование касается именно госструктур, но CISA отдельно посоветовало обновить серверы всем защитникам, включая частный сектор. Логика здесь простая: Wing FTP уже попал в поле зрения атакующих, а теперь в активной эксплуатации замечен и дополнительный дефект, который может упростить новую волну компрометаций. Если обновление невозможно, агентство рекомендует следовать инструкциям вендора по снижению риска или вообще отказаться от продукта.

История с Wing FTP хорошо показывает неприятную тенденцию последнего года. Даже уязвимость, которая на бумаге выглядит как простая утечка служебной информации, быстро становится частью более опасной цепочки. А когда между публикацией технических деталей и реальными атаками проходит всего день, у администраторов почти не остается привычного запаса времени на спокойный патчинг. В случае Wing FTP такой запас уже давно закончился: версия 7.4.4 вышла несколько месяцев назад, а все серверы старше нее теперь выглядят как вполне понятная цель.