Peretas mengeksploitasi cacat RCE kritis di Wing FTP Server

Peretas sudah mulai mengeksploitasi kerentanan eksekusi kode jarak jauh yang kritis di server Wing FTP hanya satu hari setelah rincian teknis tentang cacat menjadi publik.

Serangan yang diamati menjalankan beberapa upaya enumerasi dan pengintaian diikuti dengan membangun kegigihan dengan menciptakan pengguna baru.

Kerentanan server FTP Wing yang dieksploitasi dilacak sebagai CVE-2025-47812 dan menerima skor keparahan tertinggi. Ini adalah kombinasi dari byte null dan injeksi kode LUA yang memungkinkan remote penyerang yang tidak aautentikasi untuk menjalankan kode dengan hak istimewa tertinggi pada sistem (root/sistem).

Wing FTP Server adalah solusi yang kuat untuk mengelola transfer file yang aman yang dapat menjalankan skrip LUA, yang banyak digunakan di lingkungan perusahaan dan SMB.

Pada 30 Juni, peneliti keamanan Julien Ahrens menerbitkan a Penulisan teknis untuk CVE-2025-47812menjelaskan bahwa cacat berasal dari penanganan yang tidak aman dari string yang diakhiri nol di C ++ dan sanitasi input yang tidak tepat di LUA.

Peneliti menunjukkan bagaimana byte nol di bidang nama pengguna dapat mem -bypass check otentikasi dan mengaktifkan injeksi kode LUA ke dalam file sesi.

Ketika file -file tersebut kemudian dieksekusi oleh server, dimungkinkan untuk mencapai eksekusi kode sewenang -wenang sebagai root/sistem.

Bersama dengan CVE-2025-47812, peneliti mempresentasikan tiga kekurangan lainnya di Wing FTP:

• CVE-2025-27889 – Mengizinkan kata sandi pengguna exfiltrating melalui URL yang dibuat jika pengguna mengirimkan formulir login, karena dimasukkannya kata sandi yang tidak aman dalam variabel JavaScript (lokasi)
• CVE-2025-47811 – Wing FTP berjalan sebagai root/sistem secara default, tanpa sandboxing atau penurunan hak istimewa, membuat RCES jauh lebih berbahaya
• CVE-2025-47813 – Menyediakan cookie UID yang terlalu lama mengungkapkan jalur sistem file

Semua cacat dampak versi FTP Wing 7.4.3 dan sebelumnya. Vendor memperbaiki masalah dengan merilis versi 7.4.4 pada 14 Mei 2025, kecuali untuk CVE-2025-47811, yang dianggap tidak penting.

Peneliti ancaman di platform cybersecurity yang dikelola Huntress menciptakan eksploitasi bukti-konsep untuk CVE-2025-47812 dan menunjukkan dalam video di bawah ini bagaimana peretas dapat memanfaatkannya dalam serangan:

Peneliti Huntress menemukan bahwa pada tanggal 1 Juli, sehari setelah rincian teknis untuk CVE-2025-47812 muncul, setidaknya satu penyerang mengeksploitasi kerentanan di salah satu pelanggan mereka.

Penyerang mengirim permintaan login cacat dengan nama pengguna yang disuntikkan nol-byte, menargetkan ‘loginok.html.’ Input ini membuat file .lua yang berbahaya yang menyuntikkan kode LUA ke dalam server.

Kode yang disuntikkan dirancang untuk mendekode hex muatan dan menjalankannya melalui CMD.exe, menggunakan Certutil untuk mengunduh malware dari lokasi jarak jauh dan menjalankannya.

Pemburu wanita mengatakan bahwa instance FTP sayap yang sama ditargetkan oleh lima alamat IP yang berbeda dalam jangka waktu yang singkat, berpotensi menunjukkan upaya pemindaian massal dan eksploitasi oleh beberapa aktor ancaman.

Perintah yang diamati dalam upaya ini adalah untuk pengintaian, mendapatkan kegigihan di lingkungan, dan exfiltrasi data menggunakan keriting Titik akhir alat dan webhook.

Peretas gagal serangan “mungkin karena ketidaktahuan mereka dengan mereka, atau karena Microsoft Defender menghentikan bagian dari serangan mereka,” kata Huntress. Namun demikian, para peneliti mengamati eksploitasi yang jelas tentang kerentanan server Wing FTP yang kritis.

Bahkan jika Huntress mengamati serangan yang gagal pada pelanggan mereka, peretas cenderung memindai instance FTP sayap yang dapat dijangkau dan mencoba memanfaatkan server yang rentan.

Perusahaan sangat disarankan untuk meningkatkan ke versi 7.4.4 dari produk sesegera mungkin.

Jika beralih ke versi yang lebih baru dan aman tidak dimungkinkan, rekomendasi para peneliti adalah untuk menonaktifkan atau membatasi akses http/https ke portal web Wing FTP, menonaktifkan login anonim, dan memantau direktori sesi untuk penambahan yang mencurigakan.