Критическая уязвимость в Wing FTP Server (CVE-2025-47812): активные атаки с удаленным выполнением кода угрожают корпоративным инфраструктурам

Уязвимость CVE-2025-47812 связана с обработкой нулевого байта (null byte) и инъекцией Lua-кода, что позволяет злоумышленникам выполнять произвольные команды с правами SYSTEM/root на уязвимых серверах. Проблема была обнаружена в версиях Wing FTP Server ниже 7.4.4 и затрагивает все поддерживаемые платформы: Windows, Linux и macOS.

Согласно анализу Huntress, эксплойт использует особенность обработки параметра username в файле loginok.html, отвечающем за аутентификацию. Внедряя нулевой байт в поле имени пользователя, злоумышленник обходит стандартные проверки и внедряет произвольный Lua-код, который затем выполняется сервером. Для успешной эксплуатации атакующий должен либо знать действительные учетные данные, либо использовать анонимный вход, если он разрешен в настройках FTP-сервера.

Технические детали уязвимости показывают, что основная проблема кроется в механизме сессий Wing FTP. Сессии хранят информацию о пользователе, IP-адресе и текущей директории в виде Lua-файлов. Внедряя вредоносный код через параметр username, злоумышленник модифицирует логику работы сессии, что приводит к выполнению произвольных команд.

Логи сервера могут содержать косвенные признаки атаки - например, неполные записи о входе пользователей (например, "User 'anonymous" без закрывающей кавычки). Однако наиболее достоверным свидетельством компрометации являются измененные Lua-файлы сессий, которые хранятся в директории C:\Program Files (x86)\Wing FTP Server\session. Вредоносные файлы отличаются аномально большим размером и содержат вставки произвольного кода, часто включающего команды для загрузки и выполнения вредоносных payload.

В одном из исследованных случаев атакующий использовал функцию для декодирования hex-строки, которая превращалась в команду для скачивания и запуска вредоносного файла через "certutil":

Анализ активности злоумышленников показал, что после первоначального доступа к серверу они пытались провести разведку (используя "ipconfig", "whoami", "arp -a"), создавали новых пользователей для persistence и даже пытались установить ScreenConnect для удаленного управления. Однако часть их действий была заблокирована Microsoft Defender, который идентифицировал загружаемый файл как Trojan:Win32/Ceprolad.A.

Несмотря на неудачные попытки атаки в данном конкретном случае, факт эксплуатации CVE-2025-47812 в дикой природе подтверждает высокий уровень опасности. Компании, использующие Wing FTP Server, должны срочно принять меры:

• Обновить сервер до версии 7.4.4.
• Проверить логи и сессионные файлы на наличие признаков взлома.
• Ограничить анонимный доступ, если он не требуется для работы.
• Настроить мониторинг выполнения подозрительных команд (особенно связанных с "certutil", "powershell", "curl").

Учитывая, что уязвимость позволяет злоумышленникам получать полный контроль над сервером, промедление с обновлением может привести к серьезным последствиям, включая утечку данных и дальнейшее распространение вредоносного кода внутри сети. Huntress продолжает отслеживать активность, связанную с CVE-2025-47812, и рекомендует оставаться настороже даже после установки патча.

IPv4

• 103.88.141.42
• 146.70.11.39
• 149.248.44.88
• 185.196.9.225
• 223.160.131.104

Domains

• instance-y9tbyl-relay.screenconnect.com

URLs

• http://185.196.9.225:8080/EOp45eWLSp5G5Uwp_yOCiQ
• https://oooooooo11.screenconnect.com/bin/screenconnect.clientsetup.msi
• https://webhook.site/5d112487-6133-4942-ac87-3f473d44bd81

SHA256

• c637ec00bd22da4539ec6def89cd9f7196a303d17632b1131a89d65e4f5698f4
• f0fcc638cd93bdd6fb4745d75b491395a7a1b2cb08e0153a2eb417cb2f58d8ac