Срочно обновиться! Критическая уязвимость в сервере Wing FTP Server

Wing FTP Server – это коммерческое серверное решение для передачи файлов, используемое компаниями, MSP и хостинг-провайдерами.

Программное обеспечение может быть установлено на 64-битные операционные системы: Windows, Windows Server, Linux и macOS. Администрирование осуществляется через веб-интерфейс. Пользователи могут безопасно загружать/выгружать файлы через браузер.

CVE-2025-47812 вызван неправильной обработкой \0 (нулевых) байтов в пользовательском и администраторском веб-интерфейсах Wing FTP Servers, что позволяет злоумышленникам внедрить произвольный Lua-код в файлы пользовательских сессий.

Уязвимость может быть использована для выполнения произвольных системных команд с привилегиями службы FTP (root или SYSTEM по умолчанию). Таким образом, эта уязвимость удаленного выполнения кода, гарантирующая полную компрометацию сервера. Уязвимость также может быть использована через анонимные учетные записи FTP, поясняется в CVE-записи.

Уязвимость CVE-2025-47812 была обнаружена исследователем RCE Security Джулиеном Аренсом (Julien Ahrens) и исправлена в версии Wing FTP Server v7.4.4, выпущенной 14 мая 2025 года.

30 июня исследователь опубликовал подробную статью об этом дефекте, а также рассказал о двух других уязвимостях (CVE-2025-47811, CVE-2025-47813), обнаруженных им в то же время. Он также опубликовал рекомендации, дополненные PoC-эксплойтами.

Эксплуатация CVE-2025-47812

По словам исследователей Huntress, злоумышленники не сразу попытались использовать CVE-2025-47812: впервые они заметили эксплуатацию на клиенте 1 июля 2025 года.

Анализ атаки показал, что в ней участвовали несколько злоумышленников, которые подключались к компьютеру жертвы с разных IP-адресов, проводили разведку, создавали новых пользователей, пытались загрузить и запустить вредоносные пакетные файлы и программу удаленного мониторинга и управления ScreenConnect.

Злоумышленники, судя по всему, были не слишком опытны и постоянно сталкивались с проблемой Microsoft Defender, установленного на целевом компьютере. Атака была замечена довольно быстро, и компьютер был изолирован.

Несмотря на безуспешную деятельность злоумышленников, этот инцидент свидетельствует о том, что CVE-2025-47812 активно атакуется в настоящее время. Несмотря на то, что по состоянию на 8 июля 2025 года мы наблюдали активность злоумышленников только на одном клиенте, организации могут лучше всего защитить себя, обновившись до версии 7.4.4, отметили исследователи Huntress и поделились индикаторами компрометации и подозрительными записями в журнале, которые могут использовать охотники за угрозами.

Другие уязвимости Wing FTP Server

Чтобы воспользоваться CVE-2025-47812, угрожающий субъект должен сначала авторизоваться с помощью скомпрометированных учетных данных или, если веб-интерфейс Wing FTPs позволяет это сделать, с помощью анонимной учетной записи.

Однако Аренс отметил, что они также могут использовать CVE-2025-27889, уязвимость раскрытия информации, которая требует взаимодействия с пользователем для эксплуатации, но может раскрыть пароль пользователя в открытом виде. (Также обнаруженная и сообщенная им уязвимость CVE-2025-27889 была исправлена в версии Wing FTP Server 7.4.3, выпущенной 26 марта 2025 года).

Последняя версия Wing FTP Server (7.4.4) содержит исправления для CVE-2025-47812 и CVE-2025-47813, но не CVE-2025-47811, которые могут позволить злоумышленникам выполнить код с максимально возможными привилегиями. По словам Аренса, производитель считает, что [CVE-2025-47811] можно оставить, несмотря на то, что именно из-за него мы получили полный root-доступ.

По данным платформы Censys, занимающейся анализом интернет-инфраструктуры, на 9 июля насчитывалось около 8 100 устройств, на которых работал Wing FTP Server, и примерно у 5 000 из них были открыты веб-интерфейсы в Интернете.

Серверы с таким интерфейсом потенциально уязвимы, поскольку эксплойт выполняется с помощью вредоносного POST-запроса, как показано в PoC-эксплойте, отметили они.

Подробнее