Cyberkriminelle haben eine kritische Sicherheitslücke im Wing FTP Server bereits innerhalb von 24 Stunden nach der Veröffentlichung der technischen Details aktiv ausgenutzt. Diese beispiellose Geschwindigkeit bei der Weaponisierung einer Schwachstelle unterstreicht die wachsende Bedrohung durch hochorganisierte Angreifergruppen und deren Fähigkeit, neue Exploits nahezu in Echtzeit zu entwickeln.
CVE-2025-47812: Maximale Gefährdungsstufe mit verheerenden Auswirkungen
Die als CVE-2025-47812 klassifizierte Schwachstelle erhielt die höchstmögliche CVSS-Bewertung von 10.0 Punkten, was auf eine kritische Bedrohung hinweist. Diese Kombination aus Null-Byte-Injection und Lua-Code-Einschleusung ermöglicht es unauthentifizierten Angreifern, beliebigen Code mit Administratorrechten auf dem Zielsystem auszuführen.
Der Sicherheitsforscher Julien Ahrens veröffentlichte am 30. Juni 2025 eine detaillierte Analyse der Vulnerabilität. Seine Untersuchungen zeigten, dass die Schwachstelle durch unsichere Verarbeitung von null-terminierten Strings in C++ und unzureichende Eingabevalidierung in der Lua-Komponente entstanden ist.
Technischer Angriffsmechanismus und Exploit-Kette
Der Angriff nutzt eine raffinierte Exploit-Kette, bei der Angreifer einen Null-Byte in das Benutzername-Feld einschleusen. Dadurch können sie Authentifizierungsmechanismen umgehen und schädlichen Lua-Code in Session-Dateien einbetten. Bei der anschließenden Ausführung dieser Dateien durch den Server erlangen Angreifer vollständige Systemkontrolle.
Zusätzlich zur Haupt-Vulnerabilität identifizierte Ahrens drei weitere Sicherheitslücken in Wing FTP Server, was auf systematische Architekturprobleme hinweist. Alle Schwachstellen betreffen Wing FTP Server Version 7.4.3 und frühere Versionen.
Blitzschnelle Ausnutzung in freier Wildbahn dokumentiert
Das Forschungsteam von Huntress entwickelte einen Proof-of-Concept-Exploit zur Demonstration der Angriffsmöglichkeiten. Bereits am 1. Juli, nur einen Tag nach der Veröffentlichung der technischen Details, registrierten die Experten einen realen Angriff auf einen Kundensystem.
Die Angreifer sendeten speziell präparierte Login-Requests mit Null-Byte-Sequenzen in den Benutzernamen und zielten auf die loginok.html-Komponente ab. Diese Requests generierten bösartige Session-Dateien mit .lua-Erweiterung, die Code zur Entschlüsselung und Ausführung von Payloads über cmd.exe enthielten.
Koordinierte Angriffswelle aus mehreren Quellen
Die Logfile-Analyse offenbarte Angriffe von fünf verschiedenen IP-Adressen innerhalb eines kurzen Zeitfensters. Dies deutet auf koordinierte Aktivitäten mehrerer Hackergruppen oder systematische Schwachstellen-Scans hin. Obwohl die dokumentierten Angriffe durch Microsoft Defender oder mangelnde Angreifer-Kompetenz abgewehrt wurden, verdeutlicht die aktive Ausnutzung die Dringlichkeit der Situation.
Sofortige Schutzmaßnahmen und Patch-Management
Die Wing FTP Server-Entwickler veröffentlichten am 14. Mai 2025 die Version 7.4.4, die alle identifizierten kritischen Vulnerabilitäten behebt – mit Ausnahme von CVE-2025-47811, die als geringfügig eingestuft wurde.
IT-Administratoren sollten umgehend auf die neueste Version aktualisieren und ihre Systeme auf verdächtige Aktivitäten überprüfen. Die rasante Reaktionszeit von Cyberkriminellen auf veröffentlichte Schwachstellen macht deutlich, dass proaktives Patch-Management und kontinuierliche Sicherheitsüberwachung heute kritischer denn je sind. Nur durch zeitnahe Updates und robuste Monitoring-Systeme können Organisationen ihre IT-Infrastruktur vor derartigen Zero-Day-Exploits schützen.
