Įsilaužėliai išnaudoja kritinę RCE trūkumą sparno FTP serveryje

Įsilaužėliai pradėjo naudoti kritinį nuotolinio kodo vykdymo pažeidžiamumą „Wing FTP Server“ praėjus vos vienai dienai po to, kai techninė informacija apie trūkumą tapo vieša.

Stebėta ataka surengė daugybę surašymo ir žvalgybos komandų, po kurių atsirado atkaklumas sukuriant naujus vartotojus.

Išnaudotas „Wing FTP“ serverio pažeidžiamumas yra stebimas kaip CVE-2025-47812 ir gavo aukščiausią sunkumo balą. Tai yra nulinio baito ir „Lua“ kodo injekcijos derinys, leidžiantis nuotoliniu būdu neautentifikuotam užpuolikui vykdyti kodą su didžiausiomis sistemos privilegijomis (šaknis/sistema).

„Wing FTP Server“ yra galingas sprendimas, kaip valdyti saugius failų pervedimus, kurie gali vykdyti LUA scenarijus, kurie yra plačiai naudojami įmonių ir SMB aplinkoje.

Birželio 30 d. Saugumo tyrinėtojas Julienas Ahrensas paskelbė techninį CVE-2025-47812 rašymą, paaiškindamas, kad trūkumas kyla dėl nesaugių nulinių nutrauktų stygų tvarkymo C ++ ir netinkamą įvesties dezinfekavimą Lua.

Tyrėjas pademonstravo, kaip niekinis baitas vartotojo vardo lauke gali apeiti autentifikavimo patikrinimus ir įgalinti LUA kodo injekciją į sesijų failus.

Kai vėliau tuos failus vykdo serveris, įmanoma pasiekti savavališką kodo vykdymą kaip šaknį/sistemą.

Kartu su CVE-2025-47812 tyrėjas pateikė dar tris sparno FTP trūkumus:

• CVE-2025-27889-Leidžia naudoti vartotojo slaptažodžius per pagamintą URL, jei vartotojas pateikia prisijungimo formą dėl nesaugaus slaptažodžio įtraukimo į „JavaScript“ kintamąjį (vieta)
• CVE-2025-47811-„Wing FTP“ pagal numatytuosius nustatymus veikia kaip šaknis/sistema, be smėlio dėžės ar privilegijos kritimo, todėl RCES tapo daug pavojingesnis
• CVE-2025-47813-tiekimas peržengus UID slapuką atskleidžia failų sistemos kelius

Visi trūkumai paveikia „Wing FTP“ versijas 7.4.3 ir anksčiau. Pardavėjas išsprendė problemas, išleisdamas 7.4.4 versiją 2025 m. Gegužės 14 d., Išskyrus CVE-2025-47811, kuris buvo laikomas nesvarbiu.

Valdomos kibernetinio saugumo platformos „Huntress“ grėsmės tyrinėtojai sukūrė CVE-2025-47812 koncepcijos įrodymo įrodymą ir rodyti žemiau esančiame vaizdo įraše, kaip įsilaužėliai galėtų jį panaudoti atakose:

https://www.youtube.com/watch?v=ur79s5nnlzs

„Huntress“ tyrėjai nustatė, kad pasirodė liepos 1 d., Praėjus dienai po techninės informacijos apie CVE-2025-47812, bent vienas užpuolikas išnaudojo vieno iš jų klientų pažeidžiamumą.

Užpuolikas išsiuntė netinkamo prisijungimo užklausas su „Null-Byte“ įpuršktais vartotojo vardais, nukreipdamas į „Loginok.html“. Šios įvestys sukūrė kenksmingą sesijos .Lua failus, kurie į serverį įpurškė LUA kodą.

Įšvirkštas kodas buvo sukurtas taip, kad būtų galima atsisakyti naudingo krovinio ir vykdyti jį per „CMD.EXE“, naudojant sertifikatą, kad būtų galima atsisiųsti kenkėjišką programą iš nuotolinės vietos ir ją vykdyti.

„Huntress“ sako, kad tą patį „Wing FTP“ egzempliorių per trumpą laiką buvo nukreipta penki atskiri IP adresai, galintys parodyti kelių grėsmės veikėjų masinio nuskaitymo ir išnaudojimo bandymus.

Šiuose bandymuose stebimos komandos buvo susijusios su žvalgybe, atkaklumu aplinkoje ir duomenų eksfiltravimas naudojant garbanos Įrankis ir „Webhook“ baigtis.

Hakeriui nepavyko išpuolio „galbūt dėl jų nepažįstamumo su jais ar dėl to, kad„ Microsoft Defender “sustabdė dalį savo išpuolio“, – sako Huntress. Nepaisant to, tyrėjai pastebėjo aiškų kritinio sparno FTP serverio pažeidžiamumo išnaudojimą.

Net jei „Huntress“ pastebėjo nesėkmingus išpuolius savo klientams, įsilaužėliai greičiausiai nuskaitys pasiekiamus sparno FTP egzempliorius ir bandys pasinaudoti pažeidžiamais serveriais.

Bendrovėms labai patariama kuo greičiau atnaujinti į produkto 7.4.4 versiją.

Jei pereiti prie naujesnės, saugios versijos neįmanoma, tyrėjų rekomendacija yra išjungti arba apriboti HTTP/HTTPS prieigą prie „Wing FTP“ interneto portalo, išjungti anoniminius prisijungimus, ir stebėkite sesijos katalogą, ar nėra įtartinų papildymų.