SchwachstellenCyberkriminalitätHackerangriffe

CISA warnt vor aktivem Exploit einer Jahr alten Wing-FTP-Schwachstelle

CISA warnt vor aktivem Exploit einer Jahr alten Wing-FTP-Schwachstelle
Zusammenfassung

Die US-amerikanische Cybersicherheitsbehörde CISA hat eine ein Jahr alte Sicherheitslücke im Wing FTP Server als aktiv ausgenutzt klassifiziert. Die als CVE-2025-47813 katalogisierte Schwachstelle ermöglicht es Angreifern, den vollständigen lokalen Installationspfad der Anwendung offenzulegen – eine scheinbar harmlose Information, die sich jedoch als Sprungbrett für kritischere Attacken erweist. Die Lücke betrifft Wing FTP, einen beliebten kostenlosen und plattformübergreifenden FTP-Server für Windows, macOS und Linux, der in vielen Unternehmensumgebungen weltweit eingesetzt wird. Besonders besorgniserregend ist der Zusammenhang zu CVE-2025-47812, einer kritischen Remote-Code-Execution-Schwachstelle, bei der die Offenlegung des Installationspfads als erster Schritt einer mehrstufigen Angriffskette dient. Für deutsche Unternehmen und Behörden, die Wing FTP zur Dateiverwaltung nutzen, stellt dies ein erhebliches Risiko dar. CISA fordert Bundesbehörden auf, Patches bis zum 30. März einzuspielen. Deutsche Organisationen sollten ebenfalls dringend überprüfen, ob sie vulnerable Versionen des FTP-Servers einsetzen, und umgehend auf die Patchversion 7.4.4 oder neuer aktualisieren, um ihre Systeme vor aktiven Exploits zu schützen.

Die im Mai 2024 erstmals dokumentierte Sicherheitslücke CVE-2025-47813 wurde lange Zeit nicht als besonders kritisch eingestuft – ihre Einstufung als Medium-Severity-Flaw täuschte über ihre praktische Bedeutsamkeit hinweg. Erst als CISA die Schwachstelle diese Woche in den Katalog der “Known Exploited Vulnerabilities” aufnahm, wurde die volle Tragweite deutlich. Die Behörde fordert Bundesbehörden auf, ihre Systeme bis zum 30. März zu patchen.

Die technische Funktionsweise der Lücke ist bemerkenswert: Sicherheitsforscher Julien Ahrens von RCE Security, der die Schwachstelle ursprünglich entdeckte, erklärte, dass Angreifer einen überlangen Wert im UID-Cookie einer aktiven Sitzung übermitteln können. Das Wing-FTP-System versucht dann, diesen ungewöhnlich großen Wert zu verarbeiten. Wenn dieser Wert die maximale Pfadlänge des zugrunde liegenden Betriebssystems überschreitet, wird eine Fehlermeldung erzeugt – die die komplette lokale Serverkonfiguration preisgibt.

Was diese Schwachstelle aus Sicht von Angreifern besonders wertvoll macht, ist der Zusammenhang mit einem weiteren, deutlich kritischeren Fehler. Die verwandte Schwachstelle CVE-2025-47812 ermöglicht Remote Code Execution (RCE) – also die Ausführung beliebigen Codes auf dem Server. Mit dem Installationspfad aus CVE-2025-47813 können Angreifer ihre Exploits für CVE-2025-47812 deutlich präziser gestalten. Beide Lücken wurden mit der Version 7.4.4 von Wing FTP Server im Mai 2025 geschlossen.

Die Dimension des Problems wird durch die Erkenntnis deutlich, dass etwa 5.000 internetverbundene Wing-FTP-Server einer möglichen Ausnutzung ausgesetzt sind. Das Sicherheitsunternehmen Censys hatte diese Zahl ermittelt, nachdem CVE-2025-47812 im Juni 2025 bereits aktiv angegriffen wurde. Auch CVE-2025-47812 wurde mittlerweile in die CISA-Liste aufgenommen.

Für deutsche Unternehmen und Hosting-Provider ist der Fall ein klares Signal zur Vorsicht. Wer Wing FTP einsetzt, sollte sofort überprüfen, ob eine Aktualisierung auf Version 7.4.4 oder höher durchgeführt wurde. Administratoren sollten zudem ihre Firewall-Regeln und Zugriffsprotokolle überprüfen, um festzustellen, ob bereits Exploit-Versuche gegen ihre Systeme unternommen wurden. Die Tatsache, dass CISA aktive Ausnutzung dokumentiert, bedeutet nicht nur ein theoretisches Risiko – sondern ein reales, gegenwärtiges Bedrohungsszenario.

Ähnliche Artikel