Aktívne zneužívaná kritická zraniteľnosť vo Wing FTP
Vývojári FTP servera Wing FTP vydali bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť. CVE-2025-47812 možno zneužiť na vzdialené vykonanie systémových príkazov a získanie úplnej kontroly nad systémom.
Zraniteľné systémy:
- Wing FTP vo verziách starších ako 7.4.4
Opis zraniteľnosti:
CVE-2025-47812 (CVSS skóre 10,0)
Kritická zraniteľnosť sa nachádza vo webovom rozhraní servera a spočíva v nesprávnom spracovaní tzv. nulových bajtov (‘\0’) v rámci parametra username v koncovom bode loginok.html. Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvorených vstupov mohol zneužiť na injekciu kódu v jazyku Lua do súborov používateľských relácií a následné vykonanie systémových príkazov s oprávneniami root (Linux) alebo NT AUTHORITY\SYSTEM (Windows).
Zraniteľnosť je aktívne zneužívaná minimálne od 1. júla 2025. Útočníci po získaní prístupu do systému spúšťajú rôzne príkazy pre enumeráciu a prieskum infraštruktúry, tvorbu nových používateľských účtov za účelom zachovania perzistencie, exfiltráciu citlivých údajov prostredníctvom cURL a LUA súbory slúžiace na doručenie inštalátora nástroja pre vzdialený manažment zariadení ScreenConnect. K samotnej inštalácii ScreenConnect v rámci analyzovaných incidentov zatiaľ nedošlo.
Možné škody:
- Vzdialené vykonanie príkazov
- Získanie úplnej kontroly nad systémom
Odporúčania:
Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu Wing FTP na verziu 7.4.4 alebo novšiu. V prípade, že aktualizáciu nie je možné vykonať, odporúčame vypnúť alebo obmedziť prístup k webovému rozhraniu aplikácie, deaktivovať anonymné prihlásenia a nasadiť zvýšený monitoring obsahu priečinka so súbormi používateľských relácií.
Taktiež odporúčame v logoch aplikácie a sieťových a bezpečnostných prvkov preveriť prítomnosť pokusov o zneužitie zraniteľnosti. Detailný popis zraniteľnosti, návod pre detekciu pokusov o jej zneužitie, indikátory kompromitácie a SIGMA pravidlá pre detekciu môžete nájsť online v analýze výskumníkov z Huntress.
Zdroje:
- https://www.wftpserver.com/download.htm
- https://www.huntress.com/blog/wing-ftp-server-remote-code-execution-cve-2025-47812-exploited-in-wild
- https://censys.com/advisory/cve-2025-47812
- https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-rce-flaw-in-wing-ftp-server/
- https://thehackernews.com/2025/07/critical-wing-ftp-server-vulnerability.html