Хакеры используют критическую уязвимость RCE в FTP-сервере Wing
Хакеры начали эксплуатировать критическую уязвимость удаленного выполнения кода в Wing FTP Server всего через день после того, как технические подробности об этой уязвимости стали публичными.
В ходе наблюдаемой атаки выполнялось несколько команд перечисления и разведки, после чего обеспечивалось сохранение активности путем создания новых пользователей.
Эксплуатируемая уязвимость Wing FTP Server отслеживается как CVE-2025-47812 и получила наивысший уровень серьёзности. Она представляет собой комбинацию нулевого байта и внедрения Lua-кода, позволяющую злоумышленнику, не прошедшему аутентификацию, удалённо выполнить код с наивысшими привилегиями в системе (root/SYSTEM).
Wing FTP Server — это мощное решение для управления безопасной передачей файлов, способное выполнять скрипты Lua, которое широко используется в корпоративных средах и средах малого и среднего бизнеса.
30 июня исследователь безопасности Жюльен Аренс опубликовал техническое описание уязвимости CVE-2025-47812 , в котором объяснил, что уязвимость возникает из-за небезопасной обработки строк с завершающим нулем в C++ и неправильной очистки входных данных в Lua.
Исследователь продемонстрировал, как нулевой байт в поле имени пользователя может обойти проверки аутентификации и сделать возможным внедрение кода Lua в файлы сеанса.
При последующем выполнении этих файлов сервером становится возможным выполнение произвольного кода от имени root/SYSTEM.
Наряду с CVE-2025-47812 исследователь выявил еще три уязвимости в Wing FTP:
- CVE-2025-27889 — позволяет украсть пароли пользователей через созданный URL-адрес, если пользователь отправляет форму входа, из-за небезопасного включения пароля в переменную JavaScript (location).
- CVE-2025-47811 — Wing FTP по умолчанию работает как root/SYSTEM, без «песочницы» или снижения привилегий, что делает RCE гораздо более опасным.
- CVE-2025-47813 — предоставление слишком длинного cookie-файла UID раскрывает пути к файловой системе
Все уязвимости затрагивают Wing FTP версии 7.4.3 и более ранних. Поставщик устранил все проблемы, выпустив версию 7.4.4 14 мая 2025 года, за исключением CVE-2025-47811, которая была признана несущественной.
Исследователи угроз на платформе управляемой кибербезопасности Huntress создали экспериментальный эксплойт для CVE-2025-47812 и показывают в видео ниже, как хакеры могут использовать его в атаках:
Исследователи Huntress обнаружили, что 1 июля, на следующий день после появления технических подробностей CVE-2025-47812, по крайней мере один злоумышленник воспользовался уязвимостью у одного из их клиентов.
Злоумышленник отправлял искажённые запросы на вход в систему с именами пользователей, содержащими нулевые байты, на сайт «loginok.html». Эти запросы создавали вредоносные файлы сеансов .lua, внедрявшие код Lua на сервер.
Внедренный код был разработан для шестнадцатеричного декодирования полезной нагрузки и ее запуска через cmd.exe с использованием certutil для загрузки вредоносного ПО из удаленного расположения и его запуска.
По данным Huntress , один и тот же экземпляр Wing FTP подвергся атакам с пяти различных IP-адресов в течение короткого периода времени, что потенциально указывает на попытки массового сканирования и эксплуатации уязвимости несколькими злоумышленниками.
Команды, наблюдаемые в этих попытках, были предназначены для разведки, обеспечения устойчивости в среде и извлечения данных с использованием инструмента cURL и конечной точки webhook.
Хакер провалил атаку, «возможно, из-за незнания их, или потому, что Microsoft Defender частично заблокировал атаку», — говорит Хантресс. Тем не менее, исследователи наблюдали явную эксплуатацию критической уязвимости FTP-сервера Wing.
Даже если Huntress зафиксирует неудачные атаки на своих клиентов, хакеры, скорее всего, будут сканировать доступные экземпляры Wing FTP и попытаются воспользоваться уязвимыми серверами.
Компаниям настоятельно рекомендуется как можно скорее перейти на версию 7.4.4 продукта.
Если переход на более новую, безопасную версию невозможен, исследователи рекомендуют отключить или ограничить доступ HTTP/HTTP к веб-порталу Wing FTP, отключить анонимные входы и следить за каталогом сеанса на предмет подозрительных добавлений.
About The Author
