Хакери започнаха активно да експлоатират критична уязвимост за дистанционно изпълнение на код (RCE) в Wing FTP Server – само един ден след като техническите детайли за нея бяха публично оповестени. Уязвимостта, идентифицирана като CVE-2025-47812, е с максимална степен на сериозност и позволява на неаутентифициран нападател да изпълни произволен код с най-високи системни привилегии (root/SYSTEM).

Как работи уязвимостта?

Wing FTP Server е популярен софтуер за сигурен трансфер на файлове, използван в редица предприятия и малки и средни бизнеси. Програмата поддържа Lua скриптове, а уязвимостта е резултат от несигурна обработка на null-терминирани низове в C++ и липса на филтриране при въвеждане в Lua.

Изследователят Жулиен Аренс (Julien Ahrens) показва, че чрез въвеждане на null byte в полето за потребителско име, може да се заобиколи проверката на автентичността и да се инжектира Lua код в сесиите. Когато сървърът по-късно изпълни тези .lua файлове, се постига пълен контрол върху системата.

Допълнителни уязвимости

Аренс идентифицира още три проблема в Wing FTP Server (до версия 7.4.3 включително):

• CVE-2025-27889 – позволява кражба на потребителски пароли чрез подправен URL.

• CVE-2025-47811 – сървърът работи по подразбиране с root/SYSTEM права, без sandbox или ограничаване на привилегии.

• CVE-2025-47813 – прекалено дълги UID cookie стойности разкриват пътища в файловата система.

Производителят пусна обновление 7.4.4 на 14 май 2025 г., което коригира всички уязвимости освен CVE-2025-47811, която е счетена за незначителна.

Експлоатация в реално време: първи атаки

Според анализ на платформата Huntress, само ден след публикуването на PoC експлойта, хакери вече са използвали уязвимостта срещу клиент на компанията. Бяха засечени:

• Заявки с подправени потребителски имена, съдържащи null байт, насочени към loginok.html

• Създаване на Lua сесии с инжектиран код, който:

  • декодира и стартира злонамерен payload

  • използва certutil, за да свали и изпълни malware

  • използва cmd.exe, curl и webhook-и за експортиране на данни и получаване на достъп

При опитите за атака се наблюдаваха пет различни IP адреса, което показва масово сканиране и експлоатация от няколко заплахи. Някои от атаките са неуспешни, вероятно поради намесата на Microsoft Defender или грешки от страна на нападателите.

Препоръки за защита

Huntress и специалистите съветват незабавно обновление до Wing FTP Server 7.4.4.

Ако това не е възможно, се препоръчва:

• Ограничете или изключете достъпа по HTTP/HTTPS до администраторския уеб портал

• Деактивирайте анонимните логини

• Следете директорията за сесии за подозрителни .lua файлове

• Използвайте EDR/антивирусен софтуер за откриване на съмнителна активност

CVE-2025-47812 е класически пример как неправилната обработка на входни данни и липсата на привилегии и защити могат да доведат до сериозни компрометирания в реално време. При активна експлоатация в дивата природа, всяка минута е от значение за ограничаване на риска и защита на критични системи.