Хакеры эксплуатируют критическую RCE-уязвимость в Wing FTP Server - «Новости» » Интернет технологии
sitename
Anthropic: хакеры использовали Claude в масштабной кибероперации - «Новости»
Anthropic: хакеры использовали Claude в масштабной кибероперации - «Новости»
В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ - «Новости»
В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ - «Новости»
Госучреждения в Неваде закрылись из-за кибератаки - «Новости»
Госучреждения в Неваде закрылись из-за кибератаки - «Новости»
В Москве прошла шестая конференция OFFZONE 2025 - «Новости»
В Москве прошла шестая конференция OFFZONE 2025 - «Новости»
ИБ-сообщество обеспокоено новым пакетом антифрод-мер - «Новости»
ИБ-сообщество обеспокоено новым пакетом антифрод-мер - «Новости»
Realme представила тонкий аккумулятор на 15 000 мА·ч и первый в мире смартфон с термоэлектрическим кулером - «Новости сети»
Realme представила тонкий аккумулятор на 15 000 мА·ч и первый в мире смартфон с термоэлектрическим кулером - «Новости сети»
Phison сняла с себя ответственность за сбои SSD после обновления Windows 11 - «Новости сети»
Phison сняла с себя ответственность за сбои SSD после обновления Windows 11 - «Новости сети»
MSI показала OLED-монитор, который непрерывно работал 533 дня и «почти не выгорел» - «Новости сети»
MSI показала OLED-монитор, который непрерывно работал 533 дня и «почти не выгорел» - «Новости сети»
Сюжетные дополнения к S.T.A.L.K.E.R. 2: Heart of Chornobyl выйдут из тени в «ближайшем будущем» — первое уже в активной разработке - «Новости сети»
Сюжетные дополнения к S.T.A.L.K.E.R. 2: Heart of Chornobyl выйдут из тени в «ближайшем будущем» — первое уже в активной разработке - «Новости сети»
Хакер сделал конкурента ChatGPT соучастником вымогательской кампании: ИИ искал уязвимости и писал угрозы - «Новости сети»
Хакер сделал конкурента ChatGPT соучастником вымогательской кампании: ИИ искал уязвимости и писал угрозы - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Хакеры эксплуатируют критическую RCE-уязвимость в Wing FTP Server - «Новости»

Злоумышленники начали эксплуатировать критическую уязвимость в Wing FTP Server всего через день после публикации технических подробностей об этой проблеме.


Уязвимость получила идентификатор CVE-2025-47812 и максимальные 10 баллов по шкале CVSS. Она представляет собой комбинацию нулевого байта и внедрения Lua-кода, позволяющую неаутентифицированному злоумышленнику удалённо выполнять код с наивысшими привилегиями (root/SYSTEM).


Детали этой проблемы еще 30 июня 2025 года опубликовал ИБ-специалист Жюльен Аренс (Julien Ahrens). Эксперт объяснял, что уязвимость связана с небезопасной обработкой нуль-терминированных строк в C++ и некорректной очисткой входных данных в Lua.


Исследователь продемонстрировал, что нулевой байт в поле имени пользователя позволяет обойти аутентификацию и внедрить код Lua в файлы сессии. Когда такие файлы впоследствии выполняются сервером, можно добиться выполнения произвольного кода от имени root/SYSTEM.


Помимо CVE-2025-47812, Аренс описал еще три уязвимости  Wing FTP Server:



  • CVE-2025-27889 — позволяет извлечь пароли пользователя через специально подготовленный URL, если пользователь заполняет и отправляет форму входа, из-за включения пароля в переменную jаvascript (location);

  • CVE-2025-47811 — Wing FTP Server по умолчанию запускается от имени root/SYSTEM, без песочницы или снижения привилегий, что делает RCE намного опаснее;

  • CVE-2025-47813 — предоставление слишком длинного UID cookie раскрывает пути к файловой системе.


Все уязвимости затрагивают  Wing FTP Server 7.4.3 и более ранние версии. Дефекты были устранены в версии 7.4.4, выпущенной 14 мая 2025 года, за исключением проблемы CVE-2025-47811, которая была признана несущественной.


Специалисты из компании Huntress создали PoC-эксплоит для критического бага CVE-2025-47812 и продемонстрировали на видео, как хакеры могут использовать его в атаках.


1 июля, всего через день после публикации технических подробностей о CVE-2025-47812, специалисты Huntress обнаружили, что как минимум один злоумышленник уже использовал уязвимость против клиента компании.


Атакующие отправляли вредоносные запросы на вход в систему, используя имена пользователей с нулевыми байтами, и нацеливались на loginok.html. Эти запросы создавали вредоносные файлы сессии .lua, внедряя на сервер вредоносный код. Этот код предназначался для расшифровки полезной нагрузки и ее выполнения через cmd.exe (с помощью certutil), что приводило к загрузке малвари и ее выполнению.


По данным Huntress, Wing FTP Server был атакован с пяти различных IP-адресов в течение короткого промежутка времени. Это может свидетельствовать о попытках массового сканирования и эксплуатации уязвимости со стороны нескольких хак-групп.


Отмечается, что атаки не удались либо из-за незнания злоумышленников, либо потому что Microsoft Defender остановил их. Однако исследователи подчеркивают, что CVE-2025-47812 явно находится под атаками и рекомендуют пользователям как можно скорее обновиться до версии 7.4.4.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Злоумышленники начали эксплуатировать критическую уязвимость в Wing FTP Server всего через день после публикации технических подробностей об этой проблеме. Уязвимость получила идентификатор CVE-2025-47812 и максимальные 10 баллов по шкале CVSS. Она представляет собой комбинацию нулевого байта и внедрения Lua-кода, позволяющую неаутентифицированному злоумышленнику удалённо выполнять код с наивысшими привилегиями (root/SYSTEM). Детали этой проблемы еще 30 июня 2025 года опубликовал ИБ-специалист Жюльен Аренс (Julien Ahrens). Эксперт объяснял, что уязвимость связана с небезопасной обработкой нуль-терминированных строк в C и некорректной очисткой входных данных в Lua. Исследователь продемонстрировал, что нулевой байт в поле имени пользователя позволяет обойти аутентификацию и внедрить код Lua в файлы сессии. Когда такие файлы впоследствии выполняются сервером, можно добиться выполнения произвольного кода от имени root/SYSTEM. Помимо CVE-2025-47812, Аренс описал еще три уязвимости Wing FTP Server: CVE-2025-27889 — позволяет извлечь пароли пользователя через специально подготовленный URL, если пользователь заполняет и отправляет форму входа, из-за включения пароля в переменную jаvascript (location); CVE-2025-47811 — Wing FTP Server по умолчанию запускается от имени root/SYSTEM, без песочницы или снижения привилегий, что делает RCE намного опаснее; CVE-2025-47813 — предоставление слишком длинного UID cookie раскрывает пути к файловой системе. Все уязвимости затрагивают Wing FTP Server 7.4.3 и более ранние версии. Дефекты были устранены в версии 7.4.4, выпущенной 14 мая 2025 года, за исключением проблемы CVE-2025-47811, которая была признана несущественной. Специалисты из компании Huntress создали PoC-эксплоит для критического бага CVE-2025-47812 и продемонстрировали на видео, как хакеры могут использовать его в атаках. 1 июля, всего через день после публикации технических подробностей о CVE-2025-47812, специалисты Huntress обнаружили, что как минимум один злоумышленник уже использовал уязвимость против клиента компании. Атакующие отправляли вредоносные запросы на вход в систему, используя имена пользователей с нулевыми байтами, и нацеливались на loginok.html. Эти запросы создавали вредоносные файлы сессии .lua, внедряя на сервер вредоносный код. Этот код предназначался для расшифровки полезной нагрузки и ее выполнения через cmd.exe (с помощью certutil), что приводило к загрузке малвари и ее выполнению. По данным Huntress, Wing FTP Server был атакован с пяти различных IP-адресов в течение короткого промежутка времени. Это может свидетельствовать о попытках массового сканирования и эксплуатации уязвимости со стороны нескольких хак-групп. Отмечается, что атаки не удались либо из-за незнания злоумышленников, либо потому что Microsoft Defender остановил их. Однако исследователи подчеркивают, что CVE-2025-47812 явно находится под атаками и рекомендуют пользователям как можно скорее обновиться до версии 7.4.4.
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: