Критическая уязвимость CVE-2025-47812 в FTP-сервере Wing: что нужно знать
Эксперты по кибербезопасности выявили критическую уязвимость CVE-2025-47812 в популярном FTP-сервере Wing, используемом на различных платформах — Windows, Linux и macOS. Уязвимость затрагивает версии Wing до 7.4.4 и связана с неправильно обработкой нулевых байт в имени пользователя во время аутентификации. Она позволяет злоумышленникам запускать удаленное выполнение кода на уровне root или системных привилегий, что представляет серьёзную опасность для инфраструктуры организаций.
Механизм уязвимости и вектор атаки
Данная уязвимость возникает при обработке имени пользователя, введённого через конечную точку loginok.html. Злоумышленник внедряет нулевой байт (%00) в строку имени пользователя, что нарушает стандартную обработку строки и позволяет добавить дополнительные символы, интерпретируемые как Lua-код.
- Внедренный Lua-код воздействует на объектные файлы сеанса, в которых хранятся данные о пользователе (например, текущий каталог и IP-адрес).
- Для корректного выполнения вредоносного кода Lua необходима аутентификация — либо с использованием легитимных учетных данных, либо через анонимные учетные записи без пароля (если это разрешено конфигурацией сервера).
- После успешного входа злоумышленник посылает дополнительные запросы, заставляя приложение десериализовать изменённые объектные файлы сеанса, что запускает вредоносный Lua-код с системными привилегиями.
Особенности эксплуатации и действия злоумышленников
Несмотря на потенциальную опасность, на практике атаки с использованием CVE-2025-47812 демонстрируют определённые огрехи в реализации злоумышленников:
- Некоторые команды не выполнялись из-за ошибок синтаксиса или вмешательства защитных механизмов, например Microsoft Defender.
- Злоумышленники пытались использовать утилиту curl для загрузки дополнительного вредоносного ПО, включая установщик ScreenConnect — программного обеспечения для удаленного доступа, однако настройка команд была выполнена с ошибками.
- Помимо lua-эксплейтов, применялись попытки запуска Powershell-скриптов и установка маячков, но и здесь злоумышленникам мешали встроенные средства защиты.
Такое поведение указывает на то, что авторы атак не обладают высоким уровнем технической компетенции и сталкиваются с трудностями при эксплуатации уязвимости.
Рекомендации и текущая ситуация
На начало июля 2025 года отмечен по крайней мере один подтверждённый инцидент использования CVE-2025-47812 в реальной инфраструктуре. Это сигнал для всех организаций, использующих FTP-сервер Wing, о необходимости немедленных действий.
Рекомендации для обеспечения безопасности:
- Немедленно обновить все инсталляции Wing FTP Server до версии 7.4.4 или новее.
- Пересмотреть настройки аутентификации, особенно ограничив использование анонимных учётных записей.
- Активировать и контролировать средства защиты на уровне сети и конечных устройств (например, Microsoft Defender, IDS/IPS).
- Проводить регулярный аудит журналов доступа и активности сервера для выявления подозрительных запросов.
Данная ситуация ещё раз подтверждает важность своевременного обновления программного обеспечения и комплексного подхода к вопросам кибербезопасности — несмотря на активность злоумышленников, современные защитные меры по-прежнему способны задерживать и предотвращать успешные атаки.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Критическая уязвимость CVE-2025-47812 в FTP-сервере Wing".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.