Bilgisayar korsanları, Wing FTP sunucusundaki kritik bir uzaktan kod yürütme kırılganlığının, kusurla ilgili teknik ayrıntıların kamuya açıklanmasından sadece bir gün sonra kullanmaya başladılar.
Gözlenen saldırı, birden fazla numaralandırma ve keşif komutu ve ardından yeni kullanıcılar oluşturarak kalıcılık oluşturdu.
Sökülen Wing FTP sunucusu güvenlik açığı CVE-2025-47812 olarak izlenir ve en yüksek şiddet puanı aldı. Uzaktan kumandalı, kimlik doğrulanmamış bir saldırganın sistemdeki en yüksek ayrıcalıklarla (kök/sistem) kod yürütmesine izin veren bir null bayt ve LUA kod enjeksiyonunun bir kombinasyonudur.
Wing FTP sunucusu, işletme ve KOBİ ortamlarında yaygın olarak kullanılan LUA komut dosyalarını yürütebilen güvenli dosya transferlerini yönetmek için güçlü bir çözümdür.
30 Haziran’da güvenlik araştırmacısı Julien Ahrens, CVE-2025-47812 için teknik bir yazı yayınladı ve kusurun C ++ ‘da boş sonlandırılmış dizelerin güvensiz kullanımı ve LuA’daki uygunsuz girdi sterilizasyonundan kaynaklandığını açıkladı.
Araştırmacı, kullanıcı adı alanındaki boş bir baytın kimlik doğrulama kontrollerini nasıl atlayabileceğini ve LUA kod enjeksiyonunu oturum dosyalarına nasıl etkinleştirebileceğini gösterdi.
Bu dosyalar daha sonra sunucu tarafından yürütüldüğünde, rasgele kod yürütülmesini kök/sistem olarak elde etmek mümkündür.
CVE-2025-47812 ile birlikte, araştırmacı kanat FTP’de üç kusur daha sundu:
- CVE-2025-27889-Şifrenin bir JavaScript değişkenine (konum) güvensiz eklenmesi nedeniyle kullanıcı bir giriş formu gönderirse, kullanıcı şifrelerinin hazırlanmış bir URL üzerinden eksfiltrasyonuna izin verir.
- CVE-2025-47811-Kanat FTP, sanal alan veya ayrıcalık düşüşü olmadan varsayılan olarak kök/sistem olarak çalışır, bu da RCE’leri çok daha tehlikeli hale getirir
- CVE-2025-47813-Uzun bir UID çerezi sağlamak, dosya sistemi yollarını ortaya çıkarır
Tüm kusurlar kanat FTP sürümleri 7.4.3 ve daha erken etkiler. Satıcı, önemsiz kabul edilen CVE-2025-47811 hariç, 14 Mayıs 2025’te 7.4.4 sürümünü yayınlayarak sorunları düzeltti.
Yönetilen Siber Güvenlik Platformu’ndaki tehdit araştırmacıları Huntress, CVE-2025-47812 için bir kavram kanıtı yarattı ve aşağıdaki videoda bilgisayar korsanlarının saldırılarda nasıl yararlanabileceğini göster:
https://www.youtube.com/watch?v=ur79s5nnlzs
Huntress araştırmacıları, CVE-2025-47812 için teknik detayların ortaya çıkmasından bir gün sonra 1 Temmuz’da en az bir saldırganın müşterilerinden birinde güvenlik açığından yararlandığını buldu.
Saldırgan, ‘loginok.html’ hedefleyerek boş byte enjekte edilmiş kullanıcı adlarıyla kötü biçimlendirilmiş giriş istekleri gönderdi. Bu girişler, sunucuya lua kodu enjekte eden kötü amaçlı oturum .lua dosyaları oluşturdu.
Enjekte edilen kod, bir yük yükünü hex-decode için tasarlanmış ve uzak bir konumdan kötü amaçlı yazılım indirmek ve yürütmek için cerutil kullanılarak cmd.exe üzerinden yürütmek için tasarlanmıştır.
Huntress, aynı kanat FTP örneğinin kısa bir zaman dilimi içinde beş farklı IP adresi tarafından hedeflendiğini ve potansiyel olarak birkaç tehdit aktörünün kütle tarama ve sömürü girişimlerini gösterdiğini söylüyor.
Bu girişimlerde gözlemlenen komutlar, keşif için, çevrede kalıcılık elde etmek ve veri açığa çıkması içindir. kıvrılmak Araç ve Webhook uç noktası.
Hacker, “belki de onlarla aşina olmadıkları için ya da Microsoft Defender’ın saldırılarının bir kısmını durdurduğu için” saldırıyı başaramadı. Bununla birlikte, araştırmacılar kritik kanat FTP sunucusu güvenlik açığının açık bir şekilde kullanıldığını gözlemlediler.
Huntress müşterilerine başarısız saldırılar gözlemlemiş olsa bile, bilgisayar korsanlarının ulaşılabilir kanat FTP örnekleri için tarama yapması ve savunmasız sunuculardan yararlanmaya çalışması muhtemeldir.
Şirketlere, ürünün 7.4.4 sürümüne mümkün olan en kısa sürede yükseltmeleri şiddetle tavsiye edilir.
Daha yeni, güvenli bir sürüme geçmek mümkün değilse, araştırmacıların tavsiyesi, kanat FTP Web portalına HTTP/HTTPS erişimi devre dışı bırakmak veya kısıtlamak, anonim girişleri devre dışı bırakmak ve şüpheli eklemeler için oturum dizinini izlemektir.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.