La CISA avertit les agences gouvernementales américaines de la nécessité de sécuriser leurs instances de Wing FTP Server contre une vulnérabilité exploitée activement, susceptible d’être intégrée dans des attaques par exécution de code à distance.
Wing FTP Server est un logiciel de serveur FTP multiplateforme qui propose également des transferts de fichiers sécurisés via ses serveurs SFTP et web. Les développeurs affirment que leur solution est utilisée par plus de 10 000 clients à travers le monde, tels que l’Air Force américaine, Sony, Airbus, Reuters et Sephora.
Identifiée sous le numéro CVE-2025-47813, cette faille de sécurité permet à des acteurs malveillants disposant de faibles privilèges de découvrir le chemin d’installation complet de l’application sur des serveurs non corrigés.
Selon CISA, « Wing FTP Server contient une vulnérabilité générée par un message d’erreur contenant des informations sensibles lorsque l’on utilise une valeur longue dans le cookie UID. »
Le développeur a mis en place un correctif en mai 2025 dans la version 7.4.4 de Wing FTP Server, corrigeant également un bug critique d’exécution de code à distance (CVE-2025-47812) et une vulnérabilité de divulgation d’information (CVE-2025-27889) pouvant permettre le vol de mots de passe.
La vulnérabilité d’exécution de code à distance avait été précédemment signalée comme exploitée dans la nature, les attaquants ayant commencé à en abuser dès le lendemain de la publication des détails techniques la concernant.
Julien Ahrens, chercheur en sécurité ayant découvert et signalé ces vulnérabilités, a également partagé un code d’exploitation de preuve de concept pour CVE-2025-47813 en juin et a indiqué que les attaquants pourraient l’exploiter en lien avec CVE-2025-47812.
Mardi, la CISA a ajouté CVE-2025-47813 à son catalogue de vulnérabilités exploitées activement, donnant aux agences du Federal Civilian Executive Branch (FCEB) un délai de deux semaines pour sécuriser leurs systèmes, conformément à la directive opérationnelle contraignante de novembre 2021, BOD 22-01.
Bien que BOD 22-01 cible uniquement les agences fédérales, l’agence de cybersécurité américaine a encouragé tous les défenseurs, y compris ceux du secteur privé, à corriger leurs serveurs face aux attaques en cours le plus rapidement possible.
La CISA a mis en garde contre le fait que « ce type de vulnérabilité constitue un vecteur d’attaque fréquent pour les acteurs malveillants et pose des risques significatifs pour l’administration fédérale. »
Elle a recommandé d’appliquer les mesures de protection selon les instructions du fournisseur, de suivre les directives pertinentes de BOD 22-01 pour les services cloud, ou de cesser d’utiliser le produit si les mesures de protection ne sont pas disponibles.