✔Хакеры эксплуатируют критическую RCE-уязвимость в Wing FTP Server - «Новости»

Злоумышленники начали эксплуатировать критическую уязвимость в Wing FTP Server всего через день после публикации технических подробностей об этой проблеме. Уязвимость получила идентификатор CVE-2025-47812 и максимальные 10 баллов по шкале CVSS. Она представляет собой комбинацию нулевого байта и внедрения Lua-кода, позволяющую неаутентифицированному злоумышленнику удалённо выполнять код с наивысшими привилегиями (root/SYSTEM). Детали этой проблемы еще 30 июня 2025 года опубликовал ИБ-специалист Жюльен Аренс (Julien Ahrens). Эксперт объяснял, что уязвимость связана с небезопасной обработкой нуль-терминированных строк в C и некорректной очисткой входных данных в Lua. Исследователь продемонстрировал, что нулевой байт в поле имени пользователя позволяет обойти аутентификацию и внедрить код Lua в файлы сессии. Когда такие файлы впоследствии выполняются сервером, можно добиться выполнения произвольного кода от имени root/SYSTEM. Помимо CVE-2025-47812, Аренс описал еще три уязвимости Wing FTP Server: CVE-2025-27889 — позволяет извлечь пароли пользователя через специально подготовленный URL, если пользователь заполняет и отправляет форму входа, из-за включения пароля в переменную jаvascript (location); CVE-2025-47811 — Wing FTP Server по умолчанию запускается от имени root/SYSTEM, без песочницы или снижения привилегий, что делает RCE намного опаснее; CVE-2025-47813 — предоставление слишком длинного UID cookie раскрывает пути к файловой системе. Все уязвимости затрагивают Wing FTP Server 7.4.3 и более ранние версии. Дефекты были устранены в версии 7.4.4, выпущенной 14 мая 2025 года, за исключением проблемы CVE-2025-47811, которая была признана несущественной. Специалисты из компании Huntress создали PoC-эксплоит для критического бага CVE-2025-47812 и продемонстрировали на видео, как хакеры могут использовать его в атаках. 1 июля, всего через день после публикации технических подробностей о CVE-2025-47812, специалисты Huntress обнаружили, что как минимум один злоумышленник уже использовал уязвимость против клиента компании. Атакующие отправляли вредоносные запросы на вход в систему, используя имена пользователей с нулевыми байтами, и нацеливались на loginok.html. Эти запросы создавали вредоносные файлы сессии .lua, внедряя на сервер вредоносный код. Этот код предназначался для расшифровки полезной нагрузки и ее выполнения через cmd.exe (с помощью certutil), что приводило к загрузке малвари и ее выполнению. По данным Huntress, Wing FTP Server был атакован с пяти различных IP-адресов в течение короткого промежутка времени. Это может свидетельствовать о попытках массового сканирования и эксплуатации уязвимости со стороны нескольких хак-групп. Отмечается, что атаки не удались либо из-за незнания злоумышленников, либо потому что Microsoft Defender остановил их. Однако исследователи подчеркивают, что CVE-2025-47812 явно находится под атаками и рекомендуют пользователям как можно скорее обновиться до версии 7.4.4.