Специалисты по кибербезопасности зафиксировали активную эксплуатацию критической уязвимости в популярном FTP-сервере Wing. Злоумышленники начали атаки всего через 24 часа после публикации технических деталей об этой серьезной проблеме безопасности, что демонстрирует крайне высокую скорость реагирования киберпреступников на новые возможности.
Технические характеристики уязвимости CVE-2025-47812
Обнаруженная уязвимость получила идентификатор CVE-2025-47812 и максимальную оценку 10 баллов по шкале CVSS, что указывает на критический уровень опасности. Дефект представляет собой комбинированную атаку, использующую нулевой байт и внедрение Lua-кода, позволяющую неаутентифицированному атакующему выполнять произвольный код с максимальными привилегиями системы.
Исследователь безопасности Жюльен Аренс (Julien Ahrens) опубликовал детальное описание проблемы 30 июня 2025 года. Согласно его анализу, уязвимость возникает из-за небезопасной обработки нуль-терминированных строк в C++ и недостаточной валидации входных данных в компоненте Lua.
Механизм эксплуатации и дополнительные уязвимости
Эксперт продемонстрировал, что внедрение нулевого байта в поле имени пользователя позволяет обойти механизмы аутентификации и внедрить вредоносный Lua-код в файлы сессии. При последующем выполнении этих файлов сервером достигается выполнение произвольного кода от имени root или SYSTEM.
Помимо критической CVE-2025-47812, Аренс выявил еще три уязвимости в Wing FTP Server, что свидетельствует о системных проблемах в архитектуре безопасности продукта. Все обнаруженные дефекты затрагивают Wing FTP Server версии 7.4.3 и более ранние релизы.
Активная эксплуатация в дикой природе
Команда исследователей из компании Huntress создала proof-of-concept эксплоит для демонстрации возможностей атаки. Уже 1 июля, спустя всего день после публикации технических деталей, специалисты зафиксировали реальную атаку на клиента компании.
Злоумышленники отправляли специально сформированные запросы входа в систему, используя имена пользователей с нулевыми байтами и нацеливаясь на компонент loginok.html. Эти запросы создавали вредоносные файлы сессии с расширением .lua, внедряя на сервер код для расшифровки и выполнения полезной нагрузки через cmd.exe.
Масштаб атак и меры противодействия
Анализ журналов показал, что Wing FTP Server подвергся атакам с пяти различных IP-адресов в течение короткого временного окна. Это может указывать на координированные усилия нескольких хакерских групп или попытки массового сканирования уязвимых систем.
К счастью, зафиксированные атаки не увенчались успехом благодаря срабатыванию Microsoft Defender или недостаточной компетентности злоумышленников. Однако сам факт активной эксплуатации подчеркивает серьезность ситуации.
Рекомендации по защите
Разработчики Wing FTP Server выпустили исправление в версии 7.4.4 от 14 мая 2025 года, которое устраняет все выявленные критические уязвимости, за исключением CVE-2025-47811, признанной несущественной.
Администраторам систем настоятельно рекомендуется немедленно обновить Wing FTP Server до последней версии. Также следует провести аудит журналов на предмет подозрительной активности и внедрить дополнительные меры мониторинга сетевого трафика. Быстрая реакция киберпреступников на публикацию уязвимостей подчеркивает критическую важность своевременного применения обновлений безопасности и поддержания актуальности всех компонентов IT-инфраструктуры.
