Фахівці з кібербезпеки фіксують стрімке зростання атак на популярний FTP-сервер Wing після оприлюднення критичної уразливості. Злочинці почали активну експлуатацію вразливості всього через 24 години після публікації технічних деталей, що демонструє надзвичайно високу швидкість реагування хакерських груп на нові можливості для проведення атак.
Аналіз критичної уразливості CVE-2025-47812
Виявлений дефект отримав ідентифікатор CVE-2025-47812 та максимальну оцінку 10 балів за шкалою CVSS, що свідчить про критичний рівень небезпеки. Уразливість являє собою комбіновану атаку, яка використовує нульовий байт та впровадження Lua-коду, дозволяючи неавтентифікованому зловмиснику виконувати довільний код із системними привілеями.
Дослідник безпеки Жюльєн Аренс (Julien Ahrens) опублікував детальний аналіз проблеми 30 червня 2025 року. За його висновками, уразливість виникає через небезпечну обробку нуль-термінованих рядків у C++ та недостатню валідацію вхідних даних у компоненті Lua.
Механізм експлуатації та супутні загрози
Експерт продемонстрував, що впровадження нульового байта в поле імені користувача дозволяє обійти механізми автентифікації та внедрити шкідливий Lua-код у файли сесії. При подальшому виконанні цих файлів сервером досягається виконання довільного коду від імені root або SYSTEM.
Окрім критичної CVE-2025-47812, Аренс виявив ще три уразливості в Wing FTP Server, що вказує на системні проблеми в архітектурі безпеки продукту. Усі виявлені дефекти торкаються Wing FTP Server версії 7.4.3 та більш ранніх релізів.
Активна експлуатація у реальному середовищі
Команда дослідників компанії Huntress створила proof-of-concept експлойт для демонстрації можливостей атаки. Уже 1 липня, через день після публікації технічних деталей, фахівці зафіксували реальну атаку на клієнта компанії.
Кіберзлочинці надсилали спеціально сформовані запити входу в систему, використовуючи імена користувачів із нульовими байтами та націлюючись на компонент loginok.html. Ці запити створювали шкідливі файли сесії з розширенням .lua, впроваджуючи на сервер код для розшифрування та виконання корисного навантаження через cmd.exe.
Масштаб атак та заходи протидії
Аналіз журналів показав, що Wing FTP Server зазнав атак із п’яти різних IP-адрес протягом короткого часового вікна. Це може вказувати на координовані зусилля кількох хакерських груп або спроби масового сканування уразливих систем.
На щастя, зафіксовані атаки не увінчалися успіхом завдяки спрацьовуванню Microsoft Defender або недостатній компетентності зловмисників. Однак сам факт активної експлуатації підкреслює серйозність ситуації та необхідність негайного реагування.
Рекомендації щодо захисту інфраструктури
Розробники Wing FTP Server випустили виправлення у версії 7.4.4 від 14 травня 2025 року, яке усуває всі виявлені критичні уразливості, за винятком CVE-2025-47811, визнаної несуттєвою.
Системним адміністраторам настійно рекомендується негайно оновити Wing FTP Server до останньої версії. Також слід провести аудит журналів на предмет підозрілої активності та впровадити додаткові заходи моніторингу мережевого трафіку. Швидка реакція кіберзлочинців на публікацію уразливостей підкреслює критичну важливість своєчасного застосування оновлень безпеки та підтримання актуальності всіх компонентів IT-інфраструктури для забезпечення надійного захисту від сучасних кіберзагроз.
