CISA warnt vor aktiv ausgenutzter Wing-FTP-Schwachstelle : Informationsleck erleichtert gezielte Angriffe auf verwundbare Server
Ein zunächst moderat eingestuftes Sicherheitsproblem entwickelt sich zur realen Bedrohung: Eine aktiv ausgenutzte Schwachstelle im Wing-FTP-Server legt interne Serverpfade offen – und könnte Angreifern den Weg für weitergehende Attacken ebnen.
Die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) hat die Schwachstelle CVE-2025-47813 in ihren Katalog aktiv ausgenutzter Sicherheitslücken (KEV) aufgenommen. Obwohl der CVSS-Wert mit 4,3 vergleichsweise niedrig erscheint, zeigt die Einstufung: Die praktische Relevanz übersteigt die reine Bewertung deutlich.
Die Schwachstelle betrifft alle Versionen von Wing FTP bis einschließlich 7.4.3. Ursache ist eine fehlerhafte Verarbeitung von Sitzungsdaten: Wird ein ungewöhnlich langer Wert im sogenannten UID-Cookie verwendet, erzeugt der Server eine Fehlermeldung, die sensible Informationen preisgibt.
„Der Wing-FTP-Server weist eine Schwachstelle auf, bei der durch die Generierung von Fehlermeldungen sensible Informationen offengelegt werden, wenn ein zu langer Wert im UID-Cookie verwendet wird“, erklärte die CISA. Konkret kann so der vollständige Installationspfad des Servers offengelegt werden – ein Punkt, der für Angreifer äußerst wertvoll ist.
Technische Ursache im Detail
Der Angriff setzt am Endpunkt „/loginok.html“ an. Dieser überprüft den Wert des UID-Cookies nicht ausreichend. Überschreitet der übermittelte Wert die maximale Pfadlänge des Betriebssystems, wird eine Fehlermeldung ausgelöst, die interne Pfadinformationen enthält.
Der Sicherheitsanalyst Julien Ahrens von RCE Security, der die Schwachstelle verantwortungsvoll offengelegt hatte, beschreibt die Tragweite: „Ein erfolgreicher Angriff kann es einem angemeldeten Angreifer ermöglichen, den lokalen Serverpfad auszulesen – und so weitere Schwachstellen wie CVE-2025-47812 gezielt auszunutzen.“
Damit wird deutlich: Die Schwachstelle ist weniger isoliert zu betrachten, sondern fungiert als Vorbereitungsschritt für komplexere Angriffe.
Kritische Kettenangriffe möglich
Tatsächlich ist die Kombination mit einer zweiten – als höchst kritisch eingestuften – Schwachstelle im selben Produkt besonders brisant:
- CVE-2025-47812 (CVSS-Wert 10,0) – ermöglicht Remote-Code-Ausführung
- Aktive Ausnutzung seit Juli 2025
- Missbrauch für Schadcode-Download und -Ausführung (Lua-Dateien)
- Durchführung von Aufklärungsmaßnahmen auf kompromittierten Systemen
- Installation von Fernüberwachungs- und Verwaltungssoftware
Sicherheitsanalysen zeigen, dass Angreifer diese kritische Lücke bereits gezielt nutzen, um Systeme zu kompromittieren und persistenten Zugriff zu etablieren.
Patches verfügbar – Handlungsdruck hoch
Beide Schwachstellen wurden mit Version 7.4.4 behoben. Dennoch zeigt die Aufnahme in den KEV-Katalog: Viele Systeme sind weiterhin ungepatcht. Für Behörden der US-Bundesverwaltung gilt eine klare Frist: Sicherheitsupdates müssen bis zum 30. März 2026 eingespielt werden.
Auch außerhalb staatlicher Strukturen sollten Betreiber nicht zögern. Denn selbst vermeintlich „mittelkritische“ Schwachstellen können – im Zusammenspiel mit weiteren Lücken – zu einem ernsthaften Risiko für die gesamte Infrastruktur werden.