Злоумышленники начали эксплуатировать критическую уязвимость в Wing FTP Server всего через день после публикации технических подробностей об этой проблеме.

Уязвимость получила идентификатор CVE-2025-47812 и максимальные 10 баллов по шкале CVSS. Она представляет собой комбинацию нулевого байта и внедрения Lua-кода, позволяющую неаутентифицированному злоумышленнику удалённо выполнять код с наивысшими привилегиями (root/SYSTEM).

Детали этой проблемы еще 30 июня 2025 года опубликовал ИБ-специалист Жюльен Аренс (Julien Ahrens). Эксперт объяснял, что уязвимость связана с небезопасной обработкой нуль-терминированных строк в C++ и некорректной очисткой входных данных в Lua.

Исследователь продемонстрировал, что нулевой байт в поле имени пользователя позволяет обойти аутентификацию и внедрить код Lua в файлы сессии. Когда такие файлы впоследствии выполняются сервером, можно добиться выполнения произвольного кода от имени root/SYSTEM.

Помимо CVE-2025-47812, Аренс описал еще три уязвимости  Wing FTP Server:

  • CVE-2025-27889 — позволяет извлечь пароли пользователя через специально подготовленный URL, если пользователь заполняет и отправляет форму входа, из-за включения пароля в переменную JavaScript (location);
  • CVE-2025-47811 — Wing FTP Server по умолчанию запускается от имени root/SYSTEM, без песочницы или снижения привилегий, что делает RCE намного опаснее;
  • CVE-2025-47813 — предоставление слишком длинного UID cookie раскрывает пути к файловой системе.

Все уязвимости затрагивают  Wing FTP Server 7.4.3 и более ранние версии. Дефекты были устранены в версии 7.4.4, выпущенной 14 мая 2025 года, за исключением проблемы CVE-2025-47811, которая была признана несущественной.

Специалисты из компании Huntress создали PoC-эксплоит для критического бага CVE-2025-47812 и продемонстрировали на видео, как хакеры могут использовать его в атаках.

1 июля, всего через день после публикации технических подробностей о CVE-2025-47812, специалисты Huntress обнаружили, что как минимум один злоумышленник уже использовал уязвимость против клиента компании.

Атакующие отправляли вредоносные запросы на вход в систему, используя имена пользователей с нулевыми байтами, и нацеливались на loginok.html. Эти запросы создавали вредоносные файлы сессии .lua, внедряя на сервер вредоносный код. Этот код предназначался для расшифровки полезной нагрузки и ее выполнения через cmd.exe (с помощью certutil), что приводило к загрузке малвари и ее выполнению.

По данным Huntress, Wing FTP Server был атакован с пяти различных IP-адресов в течение короткого промежутка времени. Это может свидетельствовать о попытках массового сканирования и эксплуатации уязвимости со стороны нескольких хак-групп.

Отмечается, что атаки не удались либо из-за незнания злоумышленников, либо потому что Microsoft Defender остановил их. Однако исследователи подчеркивают, что CVE-2025-47812 явно находится под атаками и рекомендуют пользователям как можно скорее обновиться до версии 7.4.4.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии