Vulnerabilitate critică a serverului FTP Wing (CVE-2025-47812) exploatată activ în mediul virtual
O vulnerabilitate de securitate de severitate maximă, dezvăluită recent și care afectează serverul FTP Wing, este exploatată activ în mediul virtual, potrivit companiei Huntress.
Vulnerabilitatea, identificată ca CVE-2025-47812 (scor CVSS: 10.0), este cauzată de gestionarea incorectă a octeților nuli (�) în interfața web a serverului, permițând executarea de cod de la distanță. Problema a fost remediată în versiunea 7.4.4.
„Interfețele web pentru utilizatori și administratori gestionează greșit octeții
�, permițând, în cele din urmă, injectarea de cod Lua arbitrar în fișierele de sesiune ale utilizatorului”, se arată în avertismentul publicat pe CVE.org. „Acest lucru poate fi folosit pentru a executa comenzi de sistem arbitrare cu privilegiile serviciului FTP (root sau SYSTEM, în mod implicit).”
Gravitatea situației este amplificată de faptul că vulnerabilitatea poate fi exploatată inclusiv prin conturi FTP anonime. O analiză completă a acesteia a devenit publică la sfârșitul lunii iunie 2025, fiind realizată de cercetătorul de securitate Julien Ahrens, de la RCE Security.
Potrivit Huntress, actori malițioși exploatează deja vulnerabilitatea pentru a descărca și executa fișiere Lua malițioase, a efectua activități de recunoaștere și a instala software de monitorizare și administrare la distanță.
„CVE-2025-47812 provine din modul în care octeții nuli sunt gestionați în parametrul
username(în special în fișierul loginok.html, care gestionează procesul de autentificare)”, au precizat cercetătorii. „Acest lucru poate permite atacatorilor să efectueze injecții Lua după introducerea unui octet nul în parametrul numelui de utilizator.”
Profitând de această eroare, un atacator poate modifica modul în care fișierele Lua de sesiune sunt interpretate, ceea ce poate duce la compromiterea completă a sistemului.
Primele dovezi ale exploatării au fost observate pe 1 iulie 2025, la doar o zi după ce detaliile vulnerabilității au devenit publice. După obținerea accesului, atacatorii au executat comenzi de enumerare și recunoaștere, au creat conturi noi pentru persistență și au încărcat fișiere Lua pentru a instala un program de tip installer pentru ScreenConnect.
Nu există indicii că software-ul de control la distanță a fost instalat efectiv, deoarece atacul a fost detectat și oprit înainte de finalizare. În prezent, autorii nu au fost identificați.
Conform datelor Censys, există 8.103 dispozitive cu Wing FTP Server accesibile public, dintre care 5.004 au interfața web expusă. Cele mai multe instanțe se află în SUA, China, Germania, Marea Britanie și India.
Având în vedere exploatarea activă, este esențial ca utilizatorii să aplice imediat ultimele patch-uri și să actualizeze Wing FTP Server la versiunea 7.4.4 sau ulterioară.
⚠️ Rezumat:
-
Vulnerabilitatea — identificată ca CVE‑2025‑47812 — a fost clasificată cu severitate maximă (CVSS 10.0) și permite execuție de cod la distanță (RCE) fără autentificare. Afectează versiuni mai vechi de 7.4.4 ale Wing FTP Server.
-
Cauza este gestionarea eronată a null-byte (‘�’) în interfața web de login, ceea ce permite injectarea de cod Lua în fișierele de sesiune și rularea acestuia cu privilegii root (Linux) sau SYSTEM (Windows)
🧪 Detalii tehnice:
-
Interfața web folosește endpoint‑ul
/loginok.html. Atacatorul transmite un nume de utilizator ce include%00(null‑byte), ceea ce truncă procesarea autentificării dar păstrează restul inputului ca parte a fișierului de sesiune. Codul Lua malitios stocat acolo este executat ulterior cu privilegii ridicate -
Exploatarea poate fi realizată chiar și prin conturi FTP anonime (care nu necesită parolă), ceea ce agravează riscurile
-
Primele atacuri au fost identificate pe 1 iulie 2025, la doar o zi după publicarea detaliilor și PoC-ului de la RCE Security (julie Ahrens) pe 30 iunie
🌐 Impact global:
-
Conform platformei Censys, există aproximativ 8.103 servere Wing FTP expuse public internetului, dintre care 5.004 au interfața web accesibilă – deci potențial expuse exploatării active .
-
Principalele regiuni afectate includ: SUA, China, Germania, Regatul Unit și India .
🧰 Observații ale cercetătorilor:
-
Atacatorii au folosit exploit-ul pentru a descărca fișiere Lua malițioase, au rulat comenzi de reconnaissance (
whoami,ipconfig) și au încercat să instaleze software de acces de la distanță precum ScreenConnect -
Un exemplu a arătat cum serverul a detectat și blocat payload-ul malware identificat ca
Trojan:Win32/Ceprolad.A, oprind procesul Wing FTP și întrerupând atacul .
📅 Măsuri și recomandări:
-
Actualizează imediat Wing FTP Server la versiunea 7.4.4 sau mai recentă
-
Dezactivează accesul FTP anonim dacă nu este absolut necesar. Dacă nu se poate actualiza imediat, utilizează restricții de acces pentru
/loginok.htmlprin firewall/WAF . -
Auditare internă necesară: inspectează fișierele de sesiune și log‑urile pentru username‑uri neobișnuite sau cod Lua injectat, precum și conturi administrative suspecte create (de ex. wing sau wingftp) .
✅ Sinteză rapidă:
| Aspect | Detalii |
|---|---|
| Vulnerabilitate | CVE-2025-47812 – null-byte + Lua injection |
| Versiuni afectate | până la 7.4.3 incluse |
| Impact | Execuție cod remote cu privilegii root/SYSTEM |
| Exploatare activă | Începând cu 1 iulie 2025 |
| Soluție | Upgrade la 7.4.4, dezactivare FTP anonim, audit |
surse :thehackernews.com
11 iulie 2025 – Ravie Lakshmanan